Сегодня мы расскажем о том, как создать гибридное облако на базе облака Microsoft Azure и облака российского сервис-провайдера на базе Microsoft Azure Pack, объединив их в единое сетевое пространство через Site-to-Site VPN. Плюс создадим на базе этого гибрида единый домен Active Directory.

Данный сценарий является практическим применением концепции Microsoft Cloud OS — единой облачной платформы для частного облака, публичного облака Microsoft Azure и партнёрского облака от локального сервис-провайдера.


В качестве облака сервис-провайдера будет использоваться услуга AzuRus от компании «Облакотека». Данное решение было реализовано в рамках программы Microsoft Cloud OS Network Russia при участии инженеров Microsoft, и использует платформу Microsoft Azure Pack в качестве системы управления облаком. За счёт этого оно без проблем интегрируется с облаком Microsoft Azure.

Подробности реализации ниже.

Зачем вам это может быть нужно:
1) У вас есть часть сервисов, которую вы хотите перенести в облако российского сервис-провайдера. Это могут быть контроллеры домена, 1С и другие внутренние сервисы, которые вы традиционно размещали у себя. Вам хочется, чтобы эти сервисы безболезненно переехали в облако сервис-провайдера где-нибудь неподалёку от вас, чтобы пинг был хороший, и чтобы сервера были на территории РФ.
2) Облако сервис-провайдера и свою локальную сеть вы связываете либо через Site-to-Site VPN через интернет, либо через MPLS-туннель (реализация будет зависеть от того, какого сервис-провайдера вы выберите и какое сетевое оборудование стоит на вашей стороне).
3) Часть сервисов, которая требует максимальной надёжности и масштабируемости (внешние веб-сервисы, b2b-системы, бизнес-аналитика и другие), вы планируете перенести в облако Microsoft Azure.
4) Вы хотите связать эти 3 площадки в единое сетевое пространство и иметь возможность размещать сервисы на любой из трёх площадок.

Всю процедуру разобьем на следующие этапы:

1) Создание виртуальной сети в облаке «Облакотеки» через портал Azure Pack
2) Развёртывание нового контроллера домена Active Directory в облаке «Облакотеки» (если у вас уже есть свой домен, который вы хотите использовать, этот шаг можно пропустить)
3) Создание виртуальной сети в облаке Microsoft Azure
4) Настройка Site-to-Site VPN между облаками
5) Развёртывание виртуальной машины в облаке Microsoft Azure и добавление ее в домен, обслуживаемый контроллером домена в облаке «Облакотеки», проведение тестов.

Что примечательно — все действия проделываются потребителем облачных сервисов самостоятельно, без какого-либо подключения технической поддержки сервис-провайдера.

Создание виртуальной сети в облаке «Облакотеки»


Заходим на портал Azure Pack в рамках услуги AzuRus в облаке «Облакотеки». Видим следующую картину:


Нажимаем Создать — Виртуальная Сеть — Настраиваемое создание:


Указываем имя сети. В нашем случае это Moscow01. В принципе, имя может быть любое.


DNS-серверы пока не указываем, так как мы пока не знаем IP-адрес будущего контроллера домена. Но если вы его уже знаете — можете указать. Ставим одну галку — «Преобразование сетевых адресов», чтобы дать доступ из этой виртуальной сети в интернет через NAT. Подсеть шлюза ставится автоматически и в большинстве случаем изменять ее не требуется. На данном этапе создавать Site-to-Site VPN не требуется.


Настраиваем адресное пространство. В нашем случае в «Облакотеке» будет сеть 192.168.1.0/24, а в Microsoft Azure будет сеть 192.168.2.0/24.


Создание контроллера домена в облаке «Облакотеки»


Сеть успешно создана. Следующий этап — развернуть виртуальную машину и сделать ее контроллером домена. Нажимаем Создать — Автономная виртуальная машина — Из галереи.


Для контроллера домена нам подойдёт небольшая виртуальная машина A0 с одним виртуальным процессором и 1 гигабайтом оперативной памяти.


Назовём нашу виртуальную машину DC01 и укажем пароль локального администратора. Имя виртуальной машины и имя компьютера в Windows не совпадает, имейте это в виду.


Подключаем эту виртуальную машину в созданную на прошлом этапе сеть Moscow01:


После того, как виртуальная машина будет создана, подключаемся к ней через консоль:


Далее нужно нажать CTRL+ALT+DEL чтобы разблокировать консоль виртуальной машины:


Так как скорее всего передать такое сочетание клавиш внутрь ВМ у вас не получится, то запомните хинт — нужно нажать CTRL+ALT+END и виртуальная машина разблокируется:


Настраиваем сетевой интерфейс на будущем контроллере домена. IP-адрес был взят тот, который был выдан виртуальной машине через Azure Pack.


Открываем Server Manager, добавляем на сервер роль Active Directory Domain Services:


Запускаем процедуру создания нового домена. Назовём его hybridcloud.local:


После перезагрузки сервера заходим на него уже с помощью администратора домена и проверяем, что установка контроллера прошла успешно.


Создание виртуальной сети в Microsoft Azure


Следующие шаги делаются из портала управления Microsoft Azure. Для начала создадим новую виртуальную сеть. Для этого нажимаем «Создать виртуальную сеть».


Для понимания назовём её Azure01. Регион расположения — Северная Европа, как самый близкий к России, чтобы был наилучший пинг.


В качестве DNS-сервера укажем DC01 — 192.168.1.2. Формально сервер получил имя DC01001, но мы не будем усложнять и укажем имя виртуальной машины. Также поставим галку «Настроить подключение VPN типа сеть-сеть».


Укажем название удалённой сети. Чтобы не путаться, будем использовать то же название, которое вводили в Azure Pack — Moscow01. IP-адрес VPN-устройства в облаке «Облакотеки» мы пока не знаем, поэтому укажем любой IP-адрес. Также укажем адресное пространство удалённой сети, в нашем случае это 192.168.1.0/24.


Теперь укажем адресное пространство виртуальной сети в облаке Microsoft Azure. В нашем случае это будет 192.168.2.0/24. Также нужно нажать на кнопку «Добавить подсеть шлюза», чтобы выделить некоторое количество адресов под виртуальный VPN-шлюз.


После того как сеть создана, заходим в ее настройки и на вкладке «Панель Мониторинга» нажимаем Создать шлюз — Динамическая маршрутизация. Нужно выбрать именно динамическую маршрутизацию, потому что только в этом случае будет использован протокол IKEv2. В случае статической маршрутизации Azure будет использовать протокол IKEv1, который Azure Pack не поддерживает.


Создание виртуального шлюза в Microsoft Azure занимает достаточно времени, от 15 до 60 минут. Будьте терпеливы и подождите, пока операция завершится.


Настройка Site-to-Site VPN


Итак, когда виртуальный шлюз в Microsoft Azure успешно создан, можно приступать к самому интересному — настройке Site-to-Site VPN между облаком Microsoft Azure и облаком «Облакотеки» на базе Azure Pack.
Из портала управления Microsoft Azure возьмём IP-адрес шлюза в Azure:


Также нажимаем на «Управление ключами» и копируем Shared Key, который был сгенерирован при создании шлюза:


После этого идём в портал Azure Pack и настраиваем Site-to-Site VPN в облаке «Облакотеки». Нам нужно прописать DNS-сервер — IP-адрес созданного контроллера домена — 192.168.1.2.


После этого переходим на вкладку «VPN типа Сеть-Сеть» и нажимаем «Создать VPN»:


Указываем название подключения. Чтобы не путаться, назовём его аналогично виртуальной сети в Microsoft Azure — Azure01. Также указываем IP-адрес шлюза из Azure и Shared Key, полученные на одном из предыдущих шагов из портала Microsoft Azure.


Указываем адресное пространство удалённой сети. В нашем случае это 192.168.2.0/24:


Ждём несколько минут, пока шлюз в облаке «Облакотеки» создаётся и настраивается. После того, как задача выполнится, мы увидим IP-адрес шлюза в облаке «Облакотеки», который нужно будет скопировать и потом вставить в консоль Microsoft Azure. Не перепутайте с внешним IP-адресом, выделенным для виртуальной сети.


Теперь возвращаемся на портал Microsoft Azure, на вкладке «Локальные сети» находим сеть Moscow01 (она была создана, когда мы создали виртуальную сеть Azure01) и нажимаем «Правка»:


И вставляем IP-адрес шлюза в облаке «Облакотеки»:


Ждем несколько минут (или нажимаем на кнопку «Подключить») и видим следующую картину, показываю, что связь через Site-to-site VPN-туннель успешно установлена:


Всё, теперь виртуальная сеть в облаке «Облакотеки» объединена в единую сеть с виртуальной сетью в облаке Microsoft Azure. И всё это делается самостоятельно, без звонков в техническую поддержку. Теперь перейдем к тестированию решения.

Развёртывание ВМ в Azure и добавление в домен в «Облакотеке», тестирование решения


Так как мы хотим получить на выходе не только единое сетевое пространство, но и единый домен Active Directory, то покажем, что виртуальная машина из облака Microsoft Azure может быть добавлена в домен, работающий на нашем контроллере домена в облаке «Облакотеки» на базе Azure Pack.
Зайдём на портал Microsoft Azure и создадим виртуальную машину. Для примера — создадим виртуальную машину с предустановленным Microsoft SQL Server 2014 Web Edition.


Выберем «Стандартный» уровень, чтобы иметь возможность добавить создаваемую ВМ в нашу единую сеть, а также зададим имя пользователя и пароль для локального администратора сервера:


Выберем DNS-имя для новой облачной службы и выберем нашу виртуальную сеть — Azure01:


После развёртывания виртуальной машины в облаке Microsoft Azure, залогинимся под локальным администратором и проверим пинг до контроллера домена в облаке «Облакотеки»:


Видим, что пинг есть, и он весьма неплохой. Стабильные 62ms между Москвой и Дублином — это вполне достаточно для многих приложений.

После этого добавим виртуальную машину в наш домен:


Вуаля, виртуальная машина из облака Microsoft Azure подключена к домену, работающему на контроллере в облаке «Облакотеки». Теперь проведём тест пропускной способности.
Запустим копирование файла весом 356 мегабайт из виртуальной машины в облаке Microsoft Azure на контроллер домена в облаке «Облакотеки» по SMB. Копирование началось со скорости 8 мегабайт в секунду, закончилось на скорости более 17 мегабайт в секунду, то есть пропускная способность Site-to-Site VPN составила почти 140 мегабит, при пинге 62ms.


Как видно, на портале Microsoft Azure мы видим счётчики траффика, проходящего через туннель:


Выводы


В рамках данного сценария мы связали 2 виртуальных сети — в облаке Microsoft Azure и в облаке Облакотеки — в единое маршрутизируемое адресное пространство. При этом потребители могут подключаться к своим виртуальным машинам через Интернет до облака «Облакотеки» в Москве, а до ЦОДов Microsoft Azure траффик будет идти уже через быстрые независимые магистрали из облака «Облакотеки».
Мы рекомендуем протестировать этот сценарий самостоятельно и попробовать перенести в гибридное облако свои существующие сервисы. «Облакотека» предоставляет пробный период на 14 дней, чтобы вы успели оценить все возможности решения.

Комментарии (0)