Arquiteturas para soluções microsoft na nuvem da aws

Arquiteturas para Soluções
Microsoft na nuvem da AWS
Michel Pereira
Enterprise Solutions Architecture

Agenda
• Arquiteturas Windows na AWS
• Segurança e administração remota
• Active Directory
• Microsoft SQL Server 2014 Enterprise
• Microsoft SharePoint 2013 Enterprise

Arquiteturas Windows na AWS
• Coloque servidores de aplicação em
subnets privadas para evitar acesso direto
através da internet.
• Use subnets pública para bastion hosts,
proxy reversos e outros servidores que
recebam conexões da internet.
• Coloque soluções críticas no mínimo em duas Zonas de
Disponibilidades para ter alta disponibilidade

Considerações na arquitetura
• Virtual Private Cloud
(Amazon VPC)
• Use o príncipio de menos
privilégio
• Security groups &
Network ACLs
• Administração remota

Zona de Disponibilidade
Subnet PrivadaSubnet pública
NAT
10.0.0.0/24 10.0.2.0/24
DCDBAPPWEB
Domain
Controller
SQL
Server
App
Server
IIS
Server
RDGW
Subnet PrivadaSubnet Pública
NAT
10.0.0.0/24 10.0.2.0/24
DCDBAPPWEB
Domain
Controller
SQL
Server
App
Server
IIS
Server
RDGW
Remoto
Usuários / Admins
Arquitetura
Windows
na AWS
Arquiteturapadrãopara
serviçosweb

Security Groups
Web Security Group SQL Security Group
Aceita TCP Port 80
da Internet
Aceita TCP Port
1433 do SG Web
Usuário
WEB SQL
TCP 80 TCP 1433
10.0.0.0/24 10.0.1.0/24

Administração remota
• Os clientes podem usar o Remote Desktop
Protocol (RDP) através de HTTPs para se
conectar através de uma conexão segura e
criptografada.
• Bastion hosts podem ter acesso ao Windows
PowerShell Web Access para tarefas na linha de
comando.
Colocar um bastion host em cada Zona de Disponibilidade provê alta
disponibilidade e acesso remoto seguro através da Internet

Arquitetura para administração remota
Gateway Security Group Web Security Group
Aceita TCP 443 do
IP de Admin
Aceita TCP 3389 do SG
Gateway
AWS Administrator
Datacenter corporativo
WEB2
TCP 443
Requer uma coneão:
• Conecta-se ao RD Gateway, depois o gateway faz o proxy
da conexão RDP para a instância do back-end.
WEB1
RDGW

Administração remota com Alta Disponibilidade
• Remote Desktop Gateway
– Requer balanceamento de carga
– Os membros tem que ter politicas identicas
– Tem que estar no mesmo domínio
• Amazon Route 53 Health Checks e DNS Failover
– Failover ativo-ativo
– Failover ativo-passivo

Soluções Microsoft na Amazon VPC
• DHCP na Amazon VPC, não precisa
instalar o seu servidor DHCP
• Instâncias no domínio devem usar o
seu servidor DNS
• Pode configurar opções no DHCP
para informar o seu próprio servidor
DNS
Conectividade ao seu Datacenter corporativo através de VPN
ou Direct Connect

• Seu servidor DNS pode encaminhar
as queries para o DNS da AWS,
muito útil para resolver recursos na
AWS como: nomes internos do
Elastic Load Balancing, etc.
• Precisa de resolução de DNS na
Amazon VPC (ligado por padrão)

AWS Directory Service
• Simple AD
 Serviço de diretório que tem o Samba 4 Active
Directory Compatible Server como motor
 Suporte a contas de usuários, grupos, adição
automática ao domínio para instâncias no
Amazon EC2 e mais
• AD Connector
 Faz o proxy dos pedidos para o ambiente dentro da sua empresa
 Usuários podem acessar recursos da AWS e aplicações com as
credenciais da sua empresa

Arquitetura para o AD
Gerenciando o seu próprio Active Directory
• Endereçamento IP e DNS
• Global catalog
• Controladores de domínios para
leitura e escrita

Zona de Disponibilidade 1 / AD Site 1
10.0.0.0/24 10.0.2.0/24
DC1
Controlador
de Domínio
Exchange 2013
CAS+MBX
Zona de Disponibilidade 2 / AD Site 2
10.0.1.0/24 10.0.3.0/24
DC2EXCH2
Controlador
de Domínio
Exchange 2013
CAS+MBX
Remote
Mail Server
Multi-site Active
Directory
architecture
EDGE1
Exchange
2013 Edge
EDGE2
Exchange
2013 Edge
EXCH1
Exchange Server 2013 na AWS

Configurações híbridas do AD
• Conectividade por VPN ou Direct Connect
• Security groups permitem tráfego para datacenters dentro da sua empresa
• Configure os AD sites e as subnets
• Configure os ’custos’ do site-link
• Ative a política "Try Next Closest Site“
no domínio

Subnet Privada
DC3
Rede Corporativa
São Paulo
DC1
VPN
Floresta do AD na AWS e no seu datacenter
Rio de Janeiro
DC2

Subnet Privada
DC3
Rede Corporativa
São Paulo
DC1
VPN
Rio de Janeiro
DC2
X
DC1 fica for a do ar, em qual AD os clientes de
São Paulo vão conectar?

Subnet Privada
DC3
Rede Corporativa
São Paulo / AD Site 1
DC1
VPN
Rio de Janeiro / AD Site 2
DC2
AD Site 3
Custo 50
Topologia implementada corretamente e a política “Try
Next Closest Site”ativada. Os clientes usarão o caminho
com melhor custo para se conectar

Alta disponibilidade com SQL Server
• Amazon RDS com Multi-AZ
– Gerenciado pela AWS
– Sem interveção administrativa
– Utiliza o mirror do SQL
• SQL Server Enterprise 2012/2014
– Gerenciado por você
– HA usando WSFC e AlwaysOn Availability
Groups

Alta disponibilidade com SQL Server
Zona de Disponibilidade 1
Subnet Privada
Primary
Replica
Subnet Privada
Secondary
Replica
Synchronous-commit Synchronous-commit
Primary: 10.0.2.100
WSFC: 10.0.2.101
AG Listener: 10.0.2.102
Primary: 10.0.3.100
WSFC: 10.0.3.101
AG Listener: 10.0.3.102
AG Listener:
ag.awslabs.net
Failover automático

WSFC Quorum
Subnet Privada
Primary
Replica
Subnet Privada
Secondary
Replica
Automatic Failover
Witness
Server

WSFC Quorum
Primary
Replica
Secondary
Replica
Automatic Failover
Witness
Server

Alta disponibilidade no SQL Server HA com réplica de leitura
Subnet Privada
Primary
Replica
Subnet Privada
Secondary
Replica 1
AG Listener:
ag.awslabs.net
Automatic Failover
Asynchronous-commit
Secondary
Replica 2
(Readable)
Reporting
Application

Recuperação de desastres no SQL Server e Backup
Subnet Privada
Primary
Replica
Secondary
Replica 1
Subnet Privada
AG Listener:
ag.awslabs.net
Corporate Network
VPN
Automatic Failover
Secondary
Replica 2
(Readable)
Reporting
Application
Backups
Manual Failover

Alta disponibilidade com SharePoint 2013
• A alta disponibilidade na camada Web é feita através de balanceamento
de carga
• O balanceamento na camada de aplicação é nativa do SharePoint
• A alta disponibilidade na camada de banco
de dados é feita através do SQL AlwaysOn
• Instale o SharePoint usando o SQL Client Alias
• Atualize o ‘alias’ depois de colocar o banco
de dados em alta disponibilidade e apontar
para um Availability Group Listener FQDN

Subnet Privada
Subnet Privada
10.0.2.0/24
Subnet Pública
NAT
10.0.0.0/24
DC
DB
PrimaryAPPWEB
Domain
Controller
App
Server
Web
Front-End
RDGW
Subnet Pública
NAT
10.0.0.0/24 10.0.2.0/24
DC
DB
SecondaryAPPWEB
Domain
Controller
App
Server
Web
Front-End
RDGW
Usuários
Site em
SharePoint
com acesso
via Internet
Availability
Group
SQL
Server
SQL
Server

Suporte ao CloudWatch Logs usando Windows no
Amazon EC2
Tipos de Logs:
• Event Logs
• IIS Logs
• Qualquer evento do
Windows(ETW)
• Qualquer dados do contador de
performance
• Qualquer log baseado em texto
Os clientes podem monitorar facilmente atividades na
instância em tempo real e criar alarmes nesses eventos
To learn more: http://amzn.to/1qVKKkI

Mais informações
• Active Directory
• SQL Server 2014 AlwaysOn
• SharePoint 2013 Enterprise
• PowerShell DSC
• Exchange Server 2013
aws.amazon.com/quickstart

Arquiteturas para soluções microsoft na nuvem da aws

Mais conteúdo relacionado

Mais procurados

Semelhante a Arquiteturas para soluções microsoft na nuvem da aws

Mais de Amazon Web Services LATAM

Arquiteturas para soluções microsoft na nuvem da aws