Týden s virtuály v cloudu – Správa prostředí

  • Article

V minulých dílech jsme se zabývali založením účtu, možnostem založení virtuálního počítače, práci s disky a síťovému nastavení. V dnešním závěrečném díle se podíváme na možnosti správy.

Architektura – API a portál pro správu

Pro pochopení, jak celá správa cloud prostředí funguje, je třeba porozumět její architektuře. Veškeré operace nad vrstvou virtuálního hardwaru, které jsme dosud prováděli (vytváření virtuálů, manipulace s nimi, nastavení sítě, připojování disků apod.) provádí inteligentní cloudová infrastruktura, někdy nazývaná jako tzv. fabric. Operace jsou zpřístupněny přes tzv. Windows Azure Management REST API. Po technické stránce se jedná o HTTPS službu, se kterou si správcovský nástroj vyměňuje XML dokumenty. Přehled veškerých provedených operací. Veškeré prováděné operace jsou auditovány a je možné si je zpětně zobrazit na portále přes Service/Operation Logs:

image

Toto rozhraní pro správu může být voláno různými způsoby:

  • Z uživatelského rozhraní management portálu (což jsme používali doposud)
  • Pomocí PowerShell cmdletů pro Azure (více dále)
  • Pomocí libovolného nástroje, který si sami vyvinete anebo zakoupíte od třetí strany (viz např. https://www.cerebrata.com/)

Nejjednodušší je samozřejmě použít portál pro správu, který je dostupný z libovolného webového prohlížeče na libovolné platformě. Řadu jeho možností jsme si již ukázali, přidejme ještě možnost sledovat základní výkonnostní charakteristiky virtuálního počítače:

image

Anebo možnost jej spustit/zastavit/restartovat, nebo třeba změnit jeho hardwarové parametry (vyžaduje restart). Nyní hádanka pro zvídavé: Proč mezi monitorovanými parametry není spotřeba paměti? Odpověď se dozvíte ke konci článku.

Kdo může spravovat Azure prostředí?

V předchozí části jsme si popsali management rozhraní. Zvídavější čtenáře jistě napadlo: Jak je toto rozhraní zabezpečeno? To je samozřejmě klíčové. Asi nikdo by nebyl nadšený, pokud by mu někdo přes otevřené rozhraní vymazal jeho virtuální počítač.

Nejprve se podívejme na to, kdo smí provádět operace prostřednictvím management portálu. Ve standardním nastavení je to jediný člověk – vlastník Microsoft Account (dříve Live ID), které je vlastníkem příslušného Azure účtu. Tento může pomocí portálu delegovat na další účty roli tzv. co-administrátora, který pak má shodná práva z hlediska správy systému (nemůže ale sledovat nastavení účtu ani delegovat další administrátory):

image

Správce účtu má též jednu další možnost – registrovat certifikáty pro správu:

image

Tyto certifikáty mohou být vydané prakticky kýmkoliv, mohou to být i samopodepsané (self-signed) certifikáty. Stačí pouze uploadovat na toto místo libovolný certifikát bez privátního klíče (soubor s příponou .cer) a od té chvíle může každý, kdo vlastní příslušný certifikát včetně privátního klíče může vzdáleně volat rozhraní pro správu pomocí libovolného nástroje (např. PowerShellu). K certifikátům lze přistoupit dvojím způsobem:

  • Bezpečný způsob – pokud máte PKI infrastrukturu, zaregistrujete zde certifikát všech lidí nebo servisních účtů, které budou mít právo operovat nad tímto Azure předplatným
  • Pohodlný způsob – necháte Azure portál vygenerovat samopodepsané certifikáty, které si stáhnete a nainstalujete na svůj počítač (viz další kapitola).

Azure PowerShell

Nástrojů pro správu Azure prostředí je celá řada (mj. pro Linux, MacOS, anebo univerzální JavaScript). Na plaformě Windows však pravděpodobně použijete PowerShell, který lze stáhnout zde.

Dostupných příkazů je celá řada a kopírují prakticky všechny možnosti portálu. Můžete si je vypsat pomocí get-command –module Azure:

image

Pokud nemáte PKI infrastrukturu, je nejjednodušší nechat si příslušné certifikáty vygenerovat pomocí příkazu Get-AzurePublishSettingsFile, který přesměruje váš prohlížeč na stránku, ze které si po přihlášení stáhnete soubor s příponou .publishsettings obsahující vygenerované certifikáty pro všechny vaše subskripce. Tyto certifkáty pak naimportujete do operačního systému pomocí příkazu Import-AzurePublishSettingsFile (zadáte pouze cestu k souboru). Pokud máte více než jednu subskripci, musíte použí příkaz Select-AzureSubscription. Pokud máte vlastní infrastrukturu a nepoužíváte vygenerované certifikáty, použijete Set-AzureSubscription. Od této chvíle je již zajištěna správná autentizace a můžete volně provádět veškeré operace s prostředím, jako v následujícím příkladu:

image

Máte tedy k dispozici zcela standardní možnosti PowerShellu, jaké očekáváte. Celý postup je prakticky ukázán v tomto krátkém videu.

Správa operačního systému

Pokud vás napadlo, že dosavadní nástroje správy jenom klouzají po povrchu a neumožňují opravdovou správu operačního systému, tak máte samozřejmě pravdu. Tyto nástroje slouží pouze ke správě virtualizované hardwarové vrstvy, podobně jako např. Virtual Machine Manager z rodiny System Center. A ještě štěstí, že je tomu tak! Většina zákazníků by asi nebyla úplně nadšená z představy, že si Microsoft uvnitř jejich operačního systému spustil nějakého agenta pro správu, který tam sbírá čert ví co. A protože ve virtuálech žádný takový agent není, znamená to, že virtualizační vrstva nemůže žádným způsobem „vidět dovnitř“ operačního systému a je to též důvod, proč nevidíte na portále množství volné paměti daného virtuálu (a odpověď na výše položenou hádanku).

Pokud chcete mít detailní informace o operačním systému, jeho výkonnostních charakteristikách apod., nainstalujte si do něj sami nějakého agenta pro správu a z něj si tyto informace sbírejte. Microsoft pro tyto účely nabízí System Center Operations Manager. Stejně tak můžete použít další běžné nástroje pro správu, jako například Active Directory nebo skupinové politiky. A pokud použijete propojení s lokální sítí pomocí VPN tak, jak jsme si popsali v minulém díle, bude tato správa k nerozeznání od správy lokálního počítače na vaší síti.

Závěrem

Pokud si celý chcete popsané postupy vyzkoušet, určitě se vraťte zpátky k prvnímu dílu a založte si svůj testovací účet (instruktážní video). Většinu výše zmíněných postupů z tohoto článku můžete prakticky vidět v připraveném instruktážním videu na našem videoportále.

Dále bychom vás rádi pozvali na online seminář Vytvořte si virtuál v cloudu!, který se koná 7. února od 10:00 hodin a kde můžete položit všechny otázky, na které jste v tomto seriálu nedostali odpověď. Ti, kteří si vše chtějí vyzkoušet i prakticky, se mohou zaregistrovat na stejnojmenný bezplatný hands-on lab pod vedením zkušeného lektora.

Michael Juřek