Virtuály v cloudu -
Vítejte u seriálu věnovanému Azure Virtual Machines – tedy vytváření virtuálních počítačů, jak se vznešeně říká „v cloudu“, prakticky to ale znamená v jednom ze 6 velkých datových center po celém světě. Vzhledem k latenci sítě je samozřejmě vhodné vybrat si datové centrum co nejblíže, což je v našem případě buď Amsterdam (North Europe) anebo Dublin (West Europe). Podobný seriál již vycházel cca před půl rokem, nyní vám ale nabízíme přece jenom jiný pohled podepřený několikaměsíčními zkušenostmi nás i našich zákazníků.
K čemu je takový virtuální počítač dobrý? K řadě věcí. Předně nemusíte kupovat žádný hardware ani licenci na software – platíte pouze za hodinu existence virtuálního počítače, a to v závislosti na jeho hardwarových parametrech (tabulka HW parametrů a cen zde). Je tedy ideální pro zkoušení, kdy potřebuji určitý scénář rozběhnout na pár hodin.
Druhým scénářem použití je produkční prostředí, neboť infrastruktura je velmi robustní, všechny komponenty jsou duplikovány a vaše data (virtuální disky) jsou dokonce uložena ve třech zcela nezávislých replikách. Takovou úroveň bezpečnosti dat, odolnosti proti selhání a automatické obnovy v případě havárie vám žádný hoster nemůže nabídnout. Tento scénář je ideální zejména pro aplikace určené pro zákazníky anebo vaše obchodní partnery. Jejich umístěním mimo firmu ušetříte kapacitu vašeho internetového připojení, pro které lze jistě nalézt i kreativnější využití.
Konečně třetím často používaným scénářem je záložní systém k čemukoliv, co běží ve vašem datovém centru. Využitím virtuálů v cloudu se zbavíte starostí s vytvářením a správou záložní lokality – vaší záložní lokalitou je datové centrum v cloudu.
Podobně jako si vyzkoušíte boty, než si je koupíte, budete si v případě, že uvažujete o virtuálních počítačích v cloudu, chtít tuto službu vyzkoušet. K tomuto účelu je ideální použít bezplatný 90 denní účet, který vám nabízí dostatek zdrojů pro nepřetržitý běh jednoho virtuálního stroje typu Small (1 jádro, 1.75 GB RAM). Uvedených 750 hodin můžete využít dle vlastního uvážení, takže například můžete běžet farmu 5 serverů velikosti Medium po dobu 75 hodin (za vesmírnou hodinu se spotřebuje 2 x 5 jednotek). Při překročení povoleného množství dojde k zastavení virtuálů do konce daného měsíce, garantovaně tedy nic neplatíte za celou dobu testování. Přesný postup založení účtu je popsaný zde, v případě problémů se nám ozvěte. Poté ještě musíte možnost používání povolit na stránce Preview Features.
Častým dotazem v této souvislosti je: „Pokud je zkoušení bezplatné, proč musím zadávat svoji bankovní kartu?“. Odpověď je poměrně jednoduchá – účet v cloudu lze zneužít k různé kriminální činnosti a ani telefonní číslo ani Microsoft Account (dříve LiveID) nejsou věrohodnými způsoby autentizace. Z vaší karty nebude po celou dobu nic strženo (v některých případech je stržen 1 dolaru nebo euro, kterou jsou pak ihned vráceny zpět – validace funkce karty). Je možné použít kreditní i debetní kartu. V případě potíží kontaktuje informační linku svojí banky, zřejmě máte zablokované internetové platby nebo byla transakce vyhodnocena jako podezřelá. Další informace lze nalézt též v tomto článku.
Podrobný praktický návod najdete v tomto českém screencastu, který vám určitě doporučuji shlédnout.
Pokud již používáte komerční účet, platíte podle spotřebovaných zdrojů. Pokud používáte bezplatný zkušební účet, musíte přechod na komerční používání potvrdit (neprovede se automaticky). Platba se provádí z bankovní karty, ke které si z internetu stáhnete příslušnou fakturu za libovolný měsíc jako PDF dokument:
Při větších objemech je též možné dohodnout se na platbě fakturou (bez použití bankovní karty).
A teď to nejdůležitější – jak se příslušná částka spočítá.
Základní cena za jedno procesorové jádro a k tomu 1,75 GB paměti (což je virtuální počítač velikosti Small) je 0,12 USD za hodinu. Tato částka se účtuje po hodinách, což je ideální zejména pro testovací scénáře – vytvořím si na 4 hodiny 3 počítače a zaplatím cca 30 Kč. Pro ostatní velikosti virtuálů se jedná o násobky/podíly HW kapacity i ceny – detaily např. v kalkulačce zde.
Výše uvedená částka je zcela rozhodující. Jsou sice účtovány ještě další poplatky, ale ty je třeba brát pouze jako drobné – typicky v součtu tvoří mnohem méně než 10% faktury. Konkrétně to jsou:
Pevné disky v úložišti – 0,07 USD za 1 GB za měsíc (průměruje se po dnech)
Diskové transakce – 1 USD za 10 miliónů transakcí
Data přenesená směrem ven z datového centra (download) – 0,12 USD za 1 GB
Pro kalkulaci je nejjednodušší použít kalkulačku na stránce http://www.windowsazure.com/en-us/pricing/calculator/?scenario=virtual-machines:
Jak jsem již řekl, tyto 3 položky činí v typické situaci opravdu drobnosti a není třeba se jimi zabývat. Zajímavé je ovšem vědět, že z těchto cen můžete získat ještě další slevy:
20% při závazku na 6 měsíců (podobný princip jako u tarifů mobilních operátorů)
Dalších 2,5% při závazku na 12 měsíců
Dalších 2,5% při platbě předem
Dočasně též 33% v případě hodin virtuálních počítačů za chybějící podporu – finální spuštění služby včetně plné podpory je očekáváno na jaře
Velmi jednoduše. Na stránce http://www.windowsazure.com/account najdete všechny svoje účty (ve vašem případě zřejmě jeden účet) a můžete se podívat na jeho aktuální spotřebu:
Vidíte zde spotřebu jednotlivých zdrojů, která je rozdělena na dvě sekce. V sekci „Included in your subscription“ je vidět zobrazení aktuální spotřeby zdrojů, které máte k dispozici zdarma, případně ty, které máte předplaceny v rámci vašeho komerčního závazku. V sekci „Pay as you go“ vidíte nadlimitní spotřebu, která se účtuje běžnou sazbou. V případě 90denního bezplatného účtu bude tato sekce samozřejmě vždycky prázdná. Pro každou jednotlivou metriku je možné sledovat její trend v aktuálním účetním měsíci:
Pokud chcete sledovat svoji historickou spotřebu anebo například vysvětlit částku, kterou jste měli na faktuře, stačí přejít na záložku „Billing history“ a zde je možnost „Download Usage“:
Buďte ovšem připraveni na poměrně obsáhlý CSV dokument, na jehož porozumění je třeba trochu cviku a přemýšlení.
V případě jakékoliv služby je vždycky důležité SLA, tedy Service Level Agreement. Příslušné dokumenty najdete zde. Protože se jedná o poměrně obsáhlý materiál, přináším vám jeho stručný výtah.
SLA vám zaručuje dostupnost 99.9% (tedy výpadek max. 8,75 hodin/rok). Pokud provozujete více než jeden virtuální počítač pro každou roli (např. farma 2 web serverů a 2 databázové servery s mirroringem dat – tzv. availability set), je SLA dvakrát lepší, tedy 99.95%, neboť například údržbu hostovacích počítačů je možné provádět postupně bez zasažení dostupnosti řešení jako celku.
Důležitá je též definice výpadku. Zjednodušeně lze říct, že je to jakákoliv závada vně vašeho virtuálního počítače, tedy např. hardwarové poruchy (disk, CPU, paměť, síťová karta), problémy datového centra (síťová infrastruktura, napájení), údržba hostitelského počítače (hardware i aktualizace OS), plánované odstávky (oznamovány 6 dní předem, max. 25 minut). Naopak jako výpadek se nepočítá cokoliv se děje „uvnitř“ virtuálu, tedy např. výpadky nebo aktualizace zákaznického (hostovaného) operačního systému.
V případě nedodržení SLA máte nárok na kompenzaci, jehož výše je přesně smluvně dána a odvozuje se od výše vaší měsíční platby. Ovšem do doby, než bude na jaře služba uvedena do produkčního provozu na tuto kompenzaci nárok nemáte výměnou za výše zmíněnou 33% slevu hodinové ceny virtuálního počítače. Neznamená to ovšem, že by šlo o nějaké experimentální prostředí. I v této době se ale k prostředí přistupuje jako k produkčnímu a SLA bylo zatím vždy dodrženo.
Virtuální počítače a odpovídající síťová infrastruktura jsou určitě daleko nejzajímavějšími službami pro IT profesionála. Pro úplnost uveďme ještě některé další nabízené služby určené spíše vývojářům a dodavatelům software:
Web Sites – sdílený nebo dedikovaný hosting webů běžících pod IIS. O správu IIS a operačního systému se stará Microsoft.
Cloud Services – hostované virtuální počítače, ale ve správě Microsoftu. Provozovatel aplikace dodá pouze instalační balíček a skripty/nastavení pro spuštění aplikace.
Mobile Services – speciální služba pro ukládání dat, autentizaci a push notifikace pro běžně dostupné mobilní platformy (Windows Phone, Windows 8, iOS, Android).
SQL Azure – hostovaná SQL databáze. O veškeré úkony ohledně správy databáze se stará infrastruktura datového centra, dostanete v podstatě pouze „připojovací řetězec“.
Azure Storage – tuto službu lze využít jako úložiště v cloudu – v podstatě si ho představte jako NAS zařízení s přístupem přes HTTP protokol. Hodí se například pro ukládání záloh mimo vaši lokalitu.
Doufám, že vás komfortní možnost rychlého a flexibilního vytváření virtuálních počítačů zaujala a zachováte nám přízeň i v dalších dílech tohoto seriálu. Proto neváhejte se zřízením bezplatného testovacího účtu, abyste si mohli praktické postupy z dalších dílů seriálu vyzkoušet. V této souvislosti bych ještě jednou rád upozornil na pěkné video, které vám celý proces založení účtu a vytvoření prvního virtuálního počítače názorně ukáže.
V příštím díle se podíváme na různé možnosti vytváření virtuálních počítačů, v dalším pak na práci s disky a v dalším … nechte se překvapit 
.
Dále bychom vás rádi pozvali na online seminář Vytvořte si virtuál v cloudu!, který se koná 7. února od 10:00 hodin a kde můžete položit všechny otázky, na které jste v tomto seriálu nedostali odpověď. Ti, kteří si vše chtějí vyzkoušet i prakticky, se mohou zaregistrovat na stejnojmenný bezplatný hands-on lab pod vedením zkušeného lektora.
Nejrychlejší způsob vytvoření se jmenuje „Quick Create“, latiník by to glosoval jako nomen omen. Při tomto způsobu v portálu pro správu zadáváte jenom základní údaje:
Stačí zadat jenom nejnutnější údaje:
Budoucí DNS jméno pro vzdálenou správu
Šablonu virtuálního počítače (k dispozici je Windows Server 2008 R2, Windows Server 2012, několik variant Linuxu a dále OS Windows s SQL Serverem a BizTalk Serverem)
Velikost virtuálního počítače (RAM a počet jader) – výběr samozřejmě ovlivňuje nejenom výkon, ale i cenu (v případě bezplatného testování je to rychlost spotřebovávání testovacích hodin). Doporučuji ponechat pro začátek velikost Small, velikost lze později změnit (vyžaduje restart).
Účet Windows Azure (pokud máte pouze jeden, nezobrazí se nabídka)
Umístnění – můžete vybrat, v jaké lokalitě se bude server nacházet. Pravděpodobně budete používat North Europe (Amsterdam) anebo West Europe (Dublin).
Pak už stačí počkat jenom cca 10 minut a můžete se k virtuálu připojit pomocí tlačítka Connect, a to prostřednictvím protokolu Remote Desktop (Windows) anebo SSH (Linux) klienta. Celý postup jste mohli vidět též ve videu k úvodnímu dílu seriálu.
V principu stejná, ale o pár údajů k zadání delší je cesta Create/From Gallery:
Jak vidíte, jedná se o 4-stránkového průvodce, který navíc k výše uvedeným údajům umožňuje též zadat následující:
Jméno virtuálního počítače – jedná se o interní jméno (dříve nazývané NetBIOS name). Při použití nejkratší cesty je vždy shodné s první části DNS jména používaného pro zprávu (vamivybranejmeno.cloudapp.net)
Jméno administrátorského účtu – pouze v případě Linuxu, ve Windows je to vždy „Administrator“.
SSH klíč pro šifrování spojení – pouze pro virtuály s OS Linux
Připojení k existujícímu anebo založení nového DNS jména – tato možnost souvisí s překladem veřejných adres na privátní a více si o ní povíme ve čtvrtém díle
Network/Affinity Group – trochu složitější pojem na pochopení. Všechny počítače a úložiště disků, který sdílí stejnou Affinity Group jsou k sobě v datovém centru umisťovány co nejblíže tak aby síťová komunikace mezi nimi byla co nejrychlejší. Network je pak vlastní privátní prostor IP adres v cloudu. Vše probereme podrobněji ve čtvrtém díle.
Storage Account – virtuální disky jsou uloženy v tzv. Storage Accountu (představte si jako NAS úložiště). Zde můžete vybrat z existujících vytvořených úložišť anebo můžete automaticky nechat vytvořit nové. Z hlediska výkonu je vhodné, aby úložiště disků a virtuální počítač sdílely stejnou Affinity Group. Více o discích a úložištích ve třetím díle.
Availability Set – opět trochu složitější koncept. Pokud je nutno provádět údržbu prostředí a provést odstávku hostitelského počítače, přihlíží se k tomuto nastavení. Z každého Availability Setu bude vždy zasažen nejvýše jeden počítač. Máme-li tedy farmou dvou web serverů anebo třeba zrcadlené SQL databáze, je vhodné dát virtuály stejného typu do stejného setu.
Na výše popsaný způsob se též můžete podívat v doprovodném videu.
Ještě o něco složitější je vytváření nových počítačů klonováním počítačů existujících. Tedy přesněji řečeno vytváření počítačů je stejně jednoduché, jako jsme viděli dosud, ale musíte vyvinout určitou energii k vytvoření šablony (image) virtuálního počítače. Tento způsob vytváření se hodí zejména tehdy, pokud vytváříte počítače, které mají být identicky nakonfigurovány (např. farmu webových serverů). Při použití klonování nemusíte tyto úkony opakovat pro každý počítač – místo toho je provedete pouze na jednom z nich a tento pak naklonujete.
Není na tom nic složitého a postup se nijak neliší od klonování desktopů – po mnoho let běžné praxe. Stačí spustit uvnitř virtuálního počítače v cloudu nástroj sysprep.exe a provést generalizaci počítače. Po tomto procesu počítač „zapomene“ svoji identitu – jméno, SID, administrátorský účet apod. a je připraven ke klonování. Stačí pak takto připravený a zastavený počítač zaregistrovat jako novou šablonu pomocí operace Capture:
Po dokončení celého procesu se nově vytvořená šablona zobrazí na záložce Images:
A je možné ji používat při vytváření nových virtuálních počítačů:
Celý postup můžete velmi dobře a podrobně vidět v doprovodném videu k tomuto článku.
Nejdelší cesta je natolik zdlouhavá, že vám ji pro začátek určitě nedoporučuji. Spočívá ve vytvoření virtuálního počítače anebo šablony počítače a její upload do cloudu. A zde je právě zakopaný pes. Například typická domácí linka má rychlost uploadu maximálně 1Mbps, při velikosti virtuálu okolo 20 GB (což je ještě poměrně střídmý odhad), bude celý upload trvat téměř přesně 2 dny, ovšem za předpokladu, že se něco nepokazí.
Pokud vás výše uvedené neodradilo a máte rychlejší linku, celý postup operace je popsaný zde. Je nutné použít poslední verzi PowerShell cmdletů pro Azure (více v pátém díle), konkrétně příkaz Add-AzureVHD. Uploadovaný disk musí mít maximální velikost 127 GB, musí být typu Fixed a mít formát VHD.
Poté, co je celá operace dokončena, musíte uploadovaný VHD soubor zaregistrovat. Pokud jde o instanci virtuálního počítače, použijete Add-AzureDisk, pokud se jedná o šablonu určenou ke klonování, použijete Add-AzureVMImage. Pak již můžete začít vytvářet virtuální počítače, takto vytvořená registrace se při vytváření virtuálu z galerie objeví buď na záložce My Disks (instance virtuálního počítače) anebo My Images (šablona). Po spuštění je navíc z výkonnostních důvodů vhodné přesunout umístění stránkovacího souboru (pagefile) na disk E: typu Temporary Storage (více o discích ve třetím díle).
Nejenom, že je tedy celý postup dost dlouhý, ale má i řadu míst, kde lze udělat chybu. Proto bych ho začátečníkům spíše nedoporučil.
Pokud si celý postup chcete vyzkoušet, určitě se vraťte zpátky k prvnímu dílu a založte si svůj testovací účet (instruktážní video) V příštím díle se podíváme typy disků a práci s nimi. Doufám, že nám zachováte přízeň.
Dále bychom vás rádi pozvali na online seminář Vytvořte si virtuál v cloudu!, který se koná 7. února od 10:00 hodin, a kde můžete položit všechny otázky, na které jste v tomto seriálu nedostali odpověď. Ti, kteří si vše chtějí vyzkoušet i prakticky, se mohou zaregistrovat na stejnojmenný bezplatný hands-on lab pod vedením zkušeného lektora.
Kdo používal nějakou virtualizační technologii na svém hardwaru, budou mu níže popsané operace připadat v podstatě triviální. Existují pouze dva technické rozdíly:
Disk není uložen na fyzickém hard disku, ale v úložišti Azure nazývaném Storage Account. Představte si ho jako síťový disk či NAS úložiště, který vám je automaticky vytvořen a přidělen, jenom místo adresy \\server\share\disk.vhd bude mít URL např. http://portalvhds5ckgygrz9qb4q.blob.core.windows.net/vhds/MJUREKTESTSERVER-TESTMACHINE-2012-07-03.vhd
Veškerá správa se neprovádí lokální správcovskou konzolí, ale prostřednictvím portálu dostupného na adrese http://manage.windowsazure.com
Jak už jsem zmínil, VHD soubory jsou uloženy na speciálním úložišti Azure Storage. Zde jsou uloženy ve vámi vybraném datovém centru ve třech replikách. Pokud dojde k hardwarovém selhání, počet replik se automaticky doplní na tři. Tento způsob uložení se nazývá „locally redundant“.
Je možné si zapnout též tzv. „geo redundant“ uložení, při kterém se vytváří ještě další replika v sesterském datovém centru (např. Amsterdam -> London). Zde je třeba upozornit, že toto nastavení o 1/3 navyšuje cenu a dále – neslouží jako prostředek pro vysokou dostupnost napříč lokalitami. Je určeno pro opravdu katastrofické situace typu zemětřesení, kdy dojde ke ztrátě celého datového centra.
Pokud chcete, aby výkon vašeho prostředí byl optimální, věnujte pozornost též tzv. skupinám afinity (Affinity Group). Najdete je na portále pod Networks/Affinity Groups:
Tento koncept slouží infrastruktuře datového centra k tomu, aby na nich vytvořené prostředky umisťovala v datovém centru „síťově co nejblíže k sobě“. Jejich používáním můžete pozitivně ovlivnit jejich výkon.
Abyste měli nad vašimi úložišti (Storage Account) kontrolu, je lépe si je zřídit sám a nespoléhat se na automaticky generovaná úložiště nabízená průvodci. Vytvoření se provádí pomocí New/Data Services/Storage/Quick Create:
Jak je vidět, zadávají se pouze základní údaje:
První část DNS jména (musí být celosvětově unikátní)
Skupina afinity anebo alespoň datové centrum
Azure účet, ke kterému se vážou náklady (pokud máte více než jeden)
Zda se provádí replikace do sesterského datového centra
Vytvoření je záležitostí několika minut.
Pro začátečníky je někdy matoucí význam záložek Images a Disks, proto si nyní vysvětlíme rozdíl mezi nimi.
Images čili šablony virtuálních počítačů jsou zaregistrované VHD soubory v úložišti s generalizovaným (SYSPREPed) operačním systémem, které se používají pro vytváření nových virtuálních počítačů klonováním příslušné šablony. Dalo by se tedy říci, že jsou při klonování virtuálních počítačů pouze kopírovány, ale jinak se nepoužívají.
Disky jsou rovněž stejným způsobem zaregistrované VHD soubory v úložišti, ale jsou k dispozici pro čtení i zápis ve vašich virtuálních počítačích (viz obrázek):
Každý disk, který zde vidíte, může být buď připojený ke konkrétnímu počítači (pak vidíte jeho jméno ve sloupečku Attached To) anebo může být odpojený, což znamená, že pasivně leží v úložišti a čeká na svoji eventuální šanci. Kromě URL příslušného souboru zde lze vidět též typ disku a typ cache – tyto dva atributy si zasluhují zvláštní odstavec.
Pozor na technické požadavky při uploadu (ať už disků nebo šablon). V tuto chvíli je podporován pouze formát VHD, maximální velikost pro disky operačního systému je 127 GB a pro datové disky 1 TB, a musí být typu Fixed.
Zde je ještě zajímavá souvislost s cenou za uložení dat, neboť v úložišti jsou fyzicky uložené pouze neprázdné sektory. Pokud si tedy vytvoříte 100 GB disk a do něj uložíte 5 GB dat, platíte pouze za 5 GB. Nulové stránky nejsou uloženy ani účtovány a nástroje pro upload je ani nepřenášejí. Nemusíte se tedy obávat zakládat disky větší – jejich dodatečné zvětšování v tuto chvíli není žádným jednoduchým způsobem možné.
V úložišti mohou být uloženy dva typy disků.
„OS Disk“ je disk operačního systému. S tímto diskem zpravidla přímo nemanipulujete. Může vzniknout buď uploadem VHD s operačním systémem do úložiště anebo – častěji – vytvořením nového virtuálního počítače ze standardní nebo vámi vytvořené šablony počítače. Jak již název napovídá, jedná se o disk operačního systému.
„Data Disk“ je dodatečný disk připojený k běžícímu operačnímu systému. Může vzniknout opět uploadem anebo si můžete vytvořit a připojit prázdný disk a později ho postupně plnit obsahem. Tyto disky můžete volně připojovat a odpojovat k virtuálním počítačům a to i za běhu těchto počítačů. Disk smí ale být samozřejmě připojen v daný okamžik pouze k jedinému virtuálnímu počítači.
Existuje ještě třetí typ disků, často nazývaný Temporary Storage. Jedná se o další typ disku používaný typicky pro stránkování (page file), ale můžete ho využít i pro svá vlastní dočasná data (můžete o ně kdykoliv přijít!). Tyto disky nemůžete vytvářet, ani s nimi provádět jiné operace, jsou vašim virtuálům k dispozici automaticky. Všechny 3 typy disků vidíte na následujícím obrázku z Windows Exploreru:
Na obrázku vidíte tři disky:
C – disk operačního sytému, jeho velikost určuje tvůrce šablony operačního systému
D – temporary storage neboli dočasné úložiště, je vytvořen automaticky a jeho velikost závisí na velikosti virtuálu
F – datový disk o velikosti 10 GB, což je velikost, kterou jsem si při vytváření zvolil
Všechny tři typy disků si porovnáme v přehledné tabulce:
| OS Disk | Data Disk | Temporary Storage |
Výchozí cache režim | Čtení+zápis | Bez cache | Není trvale uložen |
Podporované cache režimy | Čtení, čtení+zápis | Bez cache, čtení, čtení+zápis | Není trvale uložen |
Max. velikost/GB | 127 | 1024 | 20 (XS), 70 (S), 140 (M), 280 (L), 560 (XL) |
Max. počet | 1 | 1 (XS), 2 (S), 4 (M), 8 (L), 16 (XL) | 1 |
Podpora pro Image | Ano | Ne | Ne |
Změny bez restartu | Ne | Ano | Nelze nic měnit |
Cena | 0.070/0.095 USD/GB/měsíc | 0.070/0.095 USD/GB/měsíc | Zdarma |
Pokud máte zapnutou georeplikaci, platíte vyšší cenu, jinak platíte nižší cenu. Jak jsme ale již uvedli v prvním díle, cena za uložení disku je ve srovnání s cenou za běh virtuálního počítače typicky zcela zanedbatelná.
Nejzajímavějším atributem je cache režim, který popisuje zda a jakým způsobem se používá lokální diskové pole hostitelského počítače pro cachování VHD souboru z úložiště, které si můžete představit jako připojené NAS zařízení. OS Disky mají standardně nastavené cachování pro čtení i zápis, což znamená zlepšení výkonu, ale s rizikem malé ztráty dat při nepravděpodobné, ale možné fatální havárii hostitelského počítače (podobný efekt má například náhlé odpojení běžícího počítače od proudu). Data Disky naopak necachují data vůbec. Má se zato, že data na nich jsou tak důležitá, že jakékoliv riziko ztráty integrity je nepřijatelné. Dobrým příkladem jejich použití jsou například datové soubory SQL serveru, zde jistě nebudete chtít žádnou nekonzistenci v datech připustit. Úroveň cache si můžete v rámci limitů popsaných v tabulce sami měnit podle toho, zda pro daný disk preferujete více výkon anebo konzistenci dat.
Na portále můžete provádět základní operace s disky. Jsou analogické operacím, které se používají v prostředích HyperV nebo VMWare. Na základní stránce každého počítače vidíme všechny aktuálně připojené disky:
Odsud se provádí základní operace s disky. Zde vidíte příklad – provedení operace přidání nového prázdného disku:
Dostupné operace jsou:
Vytvoření a připojení (Attach Empty Disk) – vytvoří v úložišti prázdný disk o dané velikosti a připojí ho k existujícímu počítači. Uvnitř operačního systému ho budete muset inicializovat, naformátovat a přiřadit mu písmeno – tak jak jste zvyklí již roky.
Připojení (Attach Disk) – pokud již VHD disk v úložišti je (byl do něj uploadován anebo byl odpojen od jiného počítače), je možné ho tímto způsobem připojit. V operačním systému mu budete muset zřejmě přiřadit písmeno.
Odpojení (Detach Disk) – datový disk lze od běžícího počítače odpojit. Tím se ovšem ani nesmaže příslušný VHD soubor ani jeho registrace, nadále ho vidíte v seznamu disků, ale má prázdný sloupeček Attached To.
Další operace lze provádět ze záložky Disks:
K dispozici jsou opět 3 operace:
Vytvoření (Create) – název je lehce zavádějící, neboť ve skutečnosti se nevytváří nový VHD soubor, ale v podstatě se zde pouze zaregistruje existující VHD soubor uložený v úložišti.
Nastavení cache (Edit Cache) – pro připojené disky zastavených virtuálních počítačů můžete nastavit režim cache paměti
Smazání (Delete) – vymazání registrace VHD souboru, přičemž si lze vybrat, zda se zároveň vymaže soubor z úložiště (Delete VHD) anebo se ponechá (Retain VHD). Smazat lze pouze disky nepřipojené k virtuálním počítačům
Nejčastěji prováděná operace – tedy vytvoření, připojení, použití a odpojení disku jsou hezky vysvětleny v českém doprovodném instruktážním videu.
Pokud si celý postup chcete vyzkoušet, určitě se vraťte zpátky k prvnímu dílu a založte si svůj testovací účet (instruktážní video). V příštím díle se budeme pokračovat možnostmi síťového nastavení.
Dále bychom vás rádi pozvali na online seminář Vytvořte si virtuál v cloudu!, který se koná 7. února od 10:00 hodin a kde můžete položit všechny otázky, na které jste v tomto seriálu nedostali odpověď. Ti, kteří si vše chtějí vyzkoušet i prakticky, se mohou zaregistrovat na stejnojmenný bezplatný hands-on lab pod vedením zkušeného lektora.
Virtuální počítače v cloudu jsou samozřejmě umístěny na virtuální síti. Pokud se o nic nestaráte, je tato síť vytvořena automaticky, používá náhodně přidělený rozsah IP adres. Na obrázku níže vidíte, že můj virtuální počítač získal interní IP adresu 10.77.14.52:
Každý zákazník má samozřejmě svoji vlastní virtuální síť, takže vaše počítače jsou odděleny od ostatních zákazníků v cloudu. Pro cokoliv nad úroveň základního zkoušení si zřejmě budete chtít vytvořit vámi kontrolovanou virtuální síť, abyste mohli ovlivnit přidělený rozsah adres a další věci. Její vytvoření není nic složitého, stačí použít možnost New/Virtual Network – pak máte pod kontrolou rozsah IP adres na vaší virtuální síti, nastavení DNS serverů a případně můžete i nastavit propojení této sítě s lokální sítí pomocí IPSec propojení. Při vytváření virtuálních počítačů pak specifikujete, na kterou síť a podsíť je chcete umístit:
Některé další detaily si ještě vysvětlíme.
Přestože to není terminologicky zcela správně, nejnázornější je představit si internetovou konektivitu následovně. Každý virtuální počítač má přidělené NAT (Network Address Translation) zařízení, které překládá požadavky z veřejného prostoru internetových adres na IP adresy na privátní síti. Toto zařízení má pevně dané DNS jméno cokoliv.cloudapp.net, kde „cokoliv“ si můžete vybrat při vytváření virtuálního počítače (první textbox na předchozím obrázku) a dále pevně danou veřejnou IP adresu (tu si volně vybrat nemůžete). Oba údaje můžete vidět na prvním obrázku jako „DNS“ a „Public Virtual IP Address“. Toto zařízení pak pro definované TCP/UDP porty překládá příchozí komunikaci na interní IP síť. Je to tedy velmi podobné jako když máte domácí síť za ADSL routerem a chcete zveřejnit např. web server rozběhnutý na jednom z domácích počítačů na Internet. V Azure se toto zveřejnění provádí na záložce Endpoints:
Zde můžete přidávat pravidla pro zveřejňování dalších služeb na Internet – samozřejmě pokud chcete. Po vytvoření virtuálu je zde vždy jedno pravidlo, a to pro vzdálenou plochu. Pro Windows virtuály je to 3389 (RDP), pro Linux virtuály 22 (SSH). Pokud nechcete, aby tato možnost správy byla k dispozici, můžete pravidla odstranit – např. pokud chcete virtuály spravovat přes VPN síť a ne přes veřejný Internet. Jistě není třeba připomínat, že tímto způsobem zpřístupněné porty musí být propustné též na úrovni lokálního firewallu v operačním systému!
Speciálním případem je využití NAT zařízení jako load balanceru, kdy příchozí komunikace na určitý port je rozdělována mezi 2 nebo více virtuálních počítačů. Load balancer je samozřejmě natolik inteligentní, že využívá pouze běžící počítače, které jsou „živé“, tj. odpovídají na příslušném portu. V případě údržby některého počítače jej samozřejmě můžete z load balancingu dočasně odstranit.
Při vytváření druhého a dalšího počítače si můžete v průvodci vybrat, zda bude mít svoji vlastní veřejnou IP adresu a DNS jméno (Standalone Virtual Machine na druhém obrázku) anebo zda je bude sdílet s existujícím virtuálním počítačem. De facto se tedy rozhodujete, zda počítače budou sdílet společné NAT zařízení (v případě load balancingu je to nutnost) anebo zda bude mít každý svoje nezávislé NAT zařízení.
Vše napsané v tomto odstavci se týkalo příchozích spojení z Internetu. Odchozí TCP/UDP spojení nejsou nijak omezena. Pokud je chcete omezit, můžete to udělat firewallem na úrovni operačního systému
IP adresy virtuálních počítačů jsou tzv. pseudostatické. Formálně jsou jejich síťové karty nastaveny na používání DHCP serveru, ale fakticky má každý počítač svoji rezervovanou IP adresu, která se nikdy nemění. Nepokoušejte se dávat těmto počítačům statické IP adresy – není to podporováno a riskujete ztrátu konektivity s virtuálem. Dokonce i u AD/DNS serverů se nechává použití DHCP serveru, ignorujte varování wizardu při případném vytváření domain controlleru. Při použití automaticky přidělené virtuální sítě nemáte konkrétní IP adresu pod kontrolou. Při použití vlastní virtuální sítě máte volbu IP adresy pod kontrolou, když definujete adresní prostor a jednotlivé podsítě:
Při vytváření virtuálního počítače pak můžete specifikovat, na jakou síť a podsíť chcete virtuální počítač umístit:
Počítači je pak přidělena IP adresa ze zvolené podsítě. Nemáte ovšem pod kontrolou, která konkrétní adresa to bude, máte ovšem jistotu, že jakmile je jednou přidělena, už se nebude měnit.
Pokud jde o jména počítačů, můžete si jméno zvolit libovolně. Podobně jako na běžné síti, tato jména musí být v rámci virtuální sítě jedinečná. Nemůžete tedy mít na své virtuální síti např. dva počítače se jménem SERVER1. Samozřejmě, dva různí zákazníci mohou mít každý svůj virtuál se jménem SERVER1, neboť jde o dvě různé oddělené sítě. Dodatečná změna jména počítače není podporována.
Pokud jde o DNS servery, máte opět dvě možnosti. První je použít interní servery v Azure infrastruktuře, které umí rozlišit jména počítačů na téže virtuální síti a dále veřejné DNS záznamy v prostoru Internetu. Anebo pokud máte vlastní virtuální síť, můžete při jejím vytváření specifikovat IP adresy libovolných DNS serverů (veřejný na Internetu, privátní v cloudu, privátní na vaší lokální síti apod.), jejich IP adresy specifikujete při vytváření virtuální sítě:
Virtuální síť v cloudu lze plně propojit s vaší lokální sítí pomocí standardního VPN připojení. Cloudová síť se pak chová v podstatě jako připojená vzdálená lokalita vaší firmy s vynikajícím vlastním internetovým připojením. Tím pádem můžete používat jednotný adresář Active Directory, jednotnou DNS infrastrukturu, nástroje pro správu a monitorování apod. Tato možnost je též ideální pro hybridní scénáře, kdy část infrastruktury běží v cloudu (např. extranetový web) a část systému ve vašem lokálním prostředí (např. ERP systém).
Pokud chcete propojení nastavit, potřebujete znát 5 věcí:
Privátní adresový rozsah vaší lokální sítě
Privátní adresový rozsah vaší cloudové sítě, který se nepřekrývá s rozsahem lokální sítě
Vaše lokální veřejná IP adresa
Vaše cloudová veřejná IP adresa (je vám přidělena)
Klíč pro vzájemnou autentizaci VPN zařízení (je vám přidělen)
Nejprve musíte zadat první a třetí údaj při definici lokální sítě v Azure portálu:
Poté na Azure portálu vytvoříte virtuální VPN gateway pomocí operace Create Gateway. Po skončení této operace (trvá řádově 15 minut) zde můžete zjistit poslední 2 údaje – cloudovou veřejnou IP adresu a klíč pro šifrování privátního kanálu (Manage Key):
Všech 5 údajů pak využijete pro konfiguraci lokálního VPN zařízení, které musí podporovat IPSec tunnel mode (IKE v1, AES 128/256, SHA1/2). Vytvoření IPSec tunelu je samozřejmě závislé na použitém zařízení, existuje seznam otestovaných a podporovaných zařízení od firem Cisco a Juniper, pro které lze stáhnout přímo konfigurační skripty. V případě úspěšného připojení uvidíte na portále nenulové hodnoty čítačů Data In a Data Out.
Několik otestovaných zařízení od Cisco a Juniper (včetně konfiguračních skriptů)
Pokud si celý postup chcete vyzkoušet, určitě se vraťte zpátky k prvnímu dílu a založte si svůj testovací účet (instruktážní video). Většinu výše zmíněných postupů můžete prakticky vidět v připraveném instruktážním videu na našem videoportálu MSTV.cz. Praktické cvičení na toto téma v angličtině naleznete též zde.
V příštím (posledním) díle se budeme věnovat správě virtuálních počítačů.
Dále bychom vás rádi pozvali na online seminář Vytvořte si virtuál v cloudu!, který se koná 7. února od 10:00 hodin a kde můžete položit všechny otázky, na které jste v tomto seriálu nedostali odpověď. Ti, kteří si vše chtějí vyzkoušet i prakticky, se mohou zaregistrovat na stejnojmenný bezplatný hands-on lab pod vedením zkušeného lektora.
Pro pochopení, jak celá správa cloud prostředí funguje, je třeba porozumět její architektuře. Veškeré operace nad vrstvou virtuálního hardwaru, které jsme dosud prováděli (vytváření virtuálů, manipulace s nimi, nastavení sítě, připojování disků apod.) provádí inteligentní cloudová infrastruktura, někdy nazývaná jako tzv. fabric. Operace jsou zpřístupněny přes tzv. Windows Azure Management REST API. Po technické stránce se jedná o HTTPS službu, se kterou si správcovský nástroj vyměňuje XML dokumenty. Přehled veškerých provedených operací. Veškeré prováděné operace jsou auditovány a je možné si je zpětně zobrazit na portále přes Service/Operation Logs:
Toto rozhraní pro správu může být voláno různými způsoby:
Z uživatelského rozhraní management portálu (což jsme používali doposud)
Pomocí PowerShell cmdletů pro Azure (více dále)
Pomocí libovolného nástroje, který si sami vyvinete anebo zakoupíte od třetí strany (viz např. http://www.cerebrata.com/)
Nejjednodušší je samozřejmě použít portál pro správu, který je dostupný z libovolného webového prohlížeče na libovolné platformě. Řadu jeho možností jsme si již ukázali, přidejme ještě možnost sledovat základní výkonnostní charakteristiky virtuálního počítače:
Anebo možnost jej spustit/zastavit/restartovat, nebo třeba změnit jeho hardwarové parametry (vyžaduje restart). Nyní hádanka pro zvídavé: Proč mezi monitorovanými parametry není spotřeba paměti? Odpověď se dozvíte ke konci článku.
V předchozí části jsme si popsali management rozhraní. Zvídavější čtenáře jistě napadlo: Jak je toto rozhraní zabezpečeno? To je samozřejmě klíčové. Asi nikdo by nebyl nadšený, pokud by mu někdo přes otevřené rozhraní vymazal jeho virtuální počítač.
Nejprve se podívejme na to, kdo smí provádět operace prostřednictvím management portálu. Ve standardním nastavení je to jediný člověk – vlastník Microsoft Account (dříve Live ID), které je vlastníkem příslušného Azure účtu. Tento může pomocí portálu delegovat na další účty roli tzv. co-administrátora, který pak má shodná práva z hlediska správy systému (nemůže ale sledovat nastavení účtu ani delegovat další administrátory):
Správce účtu má též jednu další možnost – registrovat certifikáty pro správu:
Tyto certifikáty mohou být vydané prakticky kýmkoliv, mohou to být i samopodepsané (self-signed) certifikáty. Stačí pouze uploadovat na toto místo libovolný certifikát bez privátního klíče (soubor s příponou .cer) a od té chvíle může každý, kdo vlastní příslušný certifikát včetně privátního klíče může vzdáleně volat rozhraní pro správu pomocí libovolného nástroje (např. PowerShellu). K certifikátům lze přistoupit dvojím způsobem:
Bezpečný způsob – pokud máte PKI infrastrukturu, zaregistrujete zde certifikát všech lidí nebo servisních účtů, které budou mít právo operovat nad tímto Azure předplatným
Pohodlný způsob – necháte Azure portál vygenerovat samopodepsané certifikáty, které si stáhnete a nainstalujete na svůj počítač (viz další kapitola).
Nástrojů pro správu Azure prostředí je celá řada (mj. pro Linux, MacOS, anebo univerzální JavaScript). Na plaformě Windows však pravděpodobně použijete PowerShell, který lze stáhnout zde.
Dostupných příkazů je celá řada a kopírují prakticky všechny možnosti portálu. Můžete si je vypsat pomocí get-command –module Azure:
Pokud nemáte PKI infrastrukturu, je nejjednodušší nechat si příslušné certifikáty vygenerovat pomocí příkazu Get-AzurePublishSettingsFile, který přesměruje váš prohlížeč na stránku, ze které si po přihlášení stáhnete soubor s příponou .publishsettings obsahující vygenerované certifikáty pro všechny vaše subskripce. Tyto certifkáty pak naimportujete do operačního systému pomocí příkazu Import-AzurePublishSettingsFile (zadáte pouze cestu k souboru). Pokud máte více než jednu subskripci, musíte použí příkaz Select-AzureSubscription. Pokud máte vlastní infrastrukturu a nepoužíváte vygenerované certifikáty, použijete Set-AzureSubscription. Od této chvíle je již zajištěna správná autentizace a můžete volně provádět veškeré operace s prostředím, jako v následujícím příkladu:
Máte tedy k dispozici zcela standardní možnosti PowerShellu, jaké očekáváte. Celý postup je prakticky ukázán v tomto krátkém videu.
Pokud vás napadlo, že dosavadní nástroje správy jenom klouzají po povrchu a neumožňují opravdovou správu operačního systému, tak máte samozřejmě pravdu. Tyto nástroje slouží pouze ke správě virtualizované hardwarové vrstvy, podobně jako např. Virtual Machine Manager z rodiny System Center. A ještě štěstí, že je tomu tak! Většina zákazníků by asi nebyla úplně nadšená z představy, že si Microsoft uvnitř jejich operačního systému spustil nějakého agenta pro správu, který tam sbírá čert ví co. A protože ve virtuálech žádný takový agent není, znamená to, že virtualizační vrstva nemůže žádným způsobem „vidět dovnitř“ operačního systému a je to též důvod, proč nevidíte na portále množství volné paměti daného virtuálu (a odpověď na výše položenou hádanku).
Pokud chcete mít detailní informace o operačním systému, jeho výkonnostních charakteristikách apod., nainstalujte si do něj sami nějakého agenta pro správu a z něj si tyto informace sbírejte. Microsoft pro tyto účely nabízí System Center Operations Manager. Stejně tak můžete použít další běžné nástroje pro správu, jako například Active Directory nebo skupinové politiky. A pokud použijete propojení s lokální sítí pomocí VPN tak, jak jsme si popsali v minulém díle, bude tato správa k nerozeznání od správy lokálního počítače na vaší síti.
Pokud si celý chcete popsané postupy vyzkoušet, určitě se vraťte zpátky k prvnímu dílu a založte si svůj testovací účet (instruktážní video). Většinu výše zmíněných postupů z tohoto článku můžete prakticky vidět v připraveném instruktážním videu na našem videoportále.
Dále bychom vás rádi pozvali na online seminář Vytvořte si virtuál v cloudu!, který se koná 7. února od 10:00 hodin a kde můžete položit všechny otázky, na které jste v tomto seriálu nedostali odpověď. Ti, kteří si vše chtějí vyzkoušet i prakticky, se mohou zaregistrovat na stejnojmenný bezplatný hands-on lab pod vedením zkušeného lektora.