部署和管理Windows Azure Pack

Windows Azure Pack（簡(jiǎn)稱(chēng)WAP）擁有與公有云Windows Azure接近的用戶體驗(yàn)，能夠?qū)⑺接性婆c公有云完美結(jié)合起來(lái)。其通過(guò)單一的Web門(mén)戶，給企業(yè)內(nèi)云管理員和用戶（租戶）提供了一個(gè)易于上手和管理的使用工具，通過(guò)此工具，管理員和用戶（租戶）可實(shí)時(shí)監(jiān)控已有資源，并可根據(jù)業(yè)務(wù)需要實(shí)現(xiàn)按需擴(kuò)展。

WAP的部署方式

打開(kāi)微軟的技術(shù)支持頁(yè)面，點(diǎn)擊“安裝Windows Azure Pack:門(mén)戶和API Express”鏈接，下載并運(yùn)行所需的安裝程序，在其左下角點(diǎn)擊“要安裝的項(xiàng)目”項(xiàng)，顯示其默認(rèn)安裝的所有組件。之后按部就班完成安裝即可。

注意：事先需要安裝好.NET FrameWork 3.5組件。

在Web平臺(tái)安裝程序界面中打開(kāi)“產(chǎn)品”項(xiàng)，選擇未安裝的組件，點(diǎn)擊“添加”按鈕，進(jìn)行安裝操作。如果需要離線安裝的話，則稍微復(fù)雜一些。

運(yùn)行上述安裝程序后直接退出，以管理員身份在命令提示符窗口中執(zhí) 行“"%ProgramFiles%Microsoft Web Platform Installer WebpiCmd.exe"/Offline/Products:"WAP_SingleMachineInstallatio n" Path: "D:WAPOfflineDa ta"/XML:"https://www.microsoft.com/web/webpi/4.6/webproductlist.xml/Log:"D:WAPOffline.log"”命令，將WAP安裝文件緩存到“D:WAPOfflineData”目錄中。完成后執(zhí)行“"%ProgramFiles%MicrosoftWeb Platform InstallerWebpiCmd.exe"/install/products:"WAP_SingleMachineInstallatio n"/XML:D:WAPOfflineDat afeedslatestwebproduc tlist.XML”命令，來(lái)離線安裝WAP。

WAP的基本配置

訪 問(wèn)“h t t p s://xxx:30101”地址，進(jìn)入WAP配置頁(yè)面，其中的“XXX”表示W(wǎng)AP服務(wù)器的IP，輸入數(shù)據(jù)庫(kù)服務(wù)器的名稱(chēng)，選擇身份認(rèn)證類(lèi)型，包括SQL Server身份認(rèn)證和Windows身份認(rèn)證。

輸入數(shù)據(jù)庫(kù)服務(wù)器管理員賬戶名和密碼，在“配置存儲(chǔ)區(qū)”欄中輸入用于存儲(chǔ)和檢索機(jī)密信息的密碼。

然后依次點(diǎn)擊下一步按鈕，保存配置信息。運(yùn)行Windows Azure Pack Configuration Site程序，點(diǎn)擊“立即配置”按鈕，可以清除原有配置信息，進(jìn)行新的配置操作。

因?yàn)閃AP是由多個(gè)IIS站點(diǎn)組成，為了提高安全性，需要使用域中CA頒發(fā)的證書(shū)。

運(yùn)行IIS管理器，在左側(cè)選擇“網(wǎng)站”項(xiàng)，在其中顯示的以“MgmtSvc”開(kāi)頭的網(wǎng)站都和WAP有關(guān)。

依次選擇這些網(wǎng)站，在其右鍵菜單上點(diǎn)擊“編輯綁定”項(xiàng)，在打開(kāi)窗口中雙擊“https”類(lèi)型，然后在“SSL證書(shū)”列表中選擇合適的域證書(shū)。

注冊(cè)必要的服務(wù)

因?yàn)閃AP無(wú)法和SCVMM 2012 R2直接通訊，相關(guān)的調(diào)配任務(wù)的指令信息必須通過(guò)SPF（即System Center Service Provider Foundation）發(fā)出才行。

因此，事先需要在某臺(tái)服務(wù)器上（例如名為“Tserver1”）先下載安裝WCF數(shù)據(jù)服務(wù) 5.0，ASP.MET MVC4等組件。

再運(yùn)行System C e n t e r 2 0 1 2 R 2 Orchestrator安裝程序，在界面中點(diǎn)擊“Service Provider Foundation”項(xiàng)，根據(jù)提示安裝.Net Extensibility 4.5，IIS6腳本工具，Windows身份驗(yàn)證，基本身份驗(yàn)證，管理Odata IIS擴(kuò)展等模塊。

在安裝界面的配置窗口中輸入SQL Server 2012數(shù)據(jù)庫(kù)服務(wù)器名稱(chēng)（例如“ServerDB”），端口號(hào)和數(shù)據(jù)庫(kù)名稱(chēng)。

在下一步窗口中設(shè)置網(wǎng)站名稱(chēng)（例如“SPFSite”）和端口號(hào)，選擇“使用現(xiàn)有證書(shū)”項(xiàng)，選擇合適的證書(shū)。

圖1 WAP管理界面

圖2 注冊(cè)SPF服務(wù)

然后為配置管理員Web服務(wù)，配置Provider Web服務(wù)以及配置VMM Web服務(wù)指定具有管理員權(quán)限的域賬戶（例如“xxxadminuser”）。

然后在System Center 2012 R2 Orchestrator安裝程序界面中分別點(diǎn)擊“Web服務(wù)”和“Runbook Worker”項(xiàng)，根據(jù)向?qū)?zhí)行具體的安裝操作。

運(yùn)行Windows Azure Pack Administration Site程序，在右上角點(diǎn)擊設(shè)置按鈕，選擇中文簡(jiǎn)體界面，如圖1所示。

在左側(cè)選擇“VM云”項(xiàng)，在右側(cè)點(diǎn)擊“注冊(cè)System Center Service Provider Foundation”項(xiàng)，在注冊(cè)界面（如圖2所示）中的“服務(wù)URL”欄中輸入“https://Tserver1.xxx.com:8090”，其 中 的“xxx”為具體的域名，輸入具有管理員權(quán)限的域賬戶（例 如“xxxadminuser”）和密碼。

在左側(cè)點(diǎn)擊“注冊(cè)Service Provider Usage”項(xiàng)，在注冊(cè)界面中合適的 地 址（例 如“https://Tserver1.xxx.com:8090/usage”）和域賬戶信息。

在 右 側(cè) 點(diǎn) 擊“注冊(cè)Service Management Automation”項(xiàng)，在 注 冊(cè)界面中合適的地址（例如“https://Tserver1.xxx.com:9090”）和域賬戶信息，方法與上述完全一致。

連接SCVMM主機(jī)

在默認(rèn)情況下，WAP無(wú)法對(duì)SCVMM 2012 R2進(jìn)行基礎(chǔ)架構(gòu)方面的管理，因?yàn)閃AP只能以云為單位執(zhí)行對(duì)應(yīng)的維護(hù)操作。 在 上 述“Twinser1”上 運(yùn) 行“l(fā)usrmgr.msc”程序，在打開(kāi)窗口中選擇“SPF_Admin”組，在其屬性窗口中確保添加了以上“xxxadminuser”賬戶。在SCVMM 2012 R2主機(jī)上打開(kāi)SCVMM管理界面，在左下角選擇“配置”項(xiàng)，在左側(cè)選擇“安全性”→“用戶角色”項(xiàng)，打開(kāi)管理員屬性窗口，在其中確保添加“xxxadminuser”賬戶。

圖3 連接SCVMM 2012 主機(jī)

同時(shí)，在“VM和服務(wù)”欄中選擇“云”項(xiàng)，確保其中創(chuàng)建了私有云。在WAP管理界面左側(cè)選擇“VM云”項(xiàng)，在右側(cè)點(diǎn)擊“使用現(xiàn)有虛擬機(jī)云提供程序配置虛擬機(jī)”項(xiàng)，在右側(cè) 的“VIRTUAL MACHINE MANAGER服務(wù)器FQDN”欄中輸入SCVMM 2012 R2主機(jī)的全名（如圖3），點(diǎn)擊“注冊(cè)”按鈕，連接成功后顯示目標(biāo)主機(jī)的云信息。

創(chuàng)建計(jì)劃項(xiàng)目

當(dāng)連接完成后，必須配置合適的計(jì)劃和用戶，才可以對(duì)云中的虛擬機(jī)進(jìn)行管理。所謂計(jì)劃其實(shí)就是權(quán)限的分配方案，不同的計(jì)劃對(duì)應(yīng)的服務(wù)是不同的。例如對(duì)于某計(jì)劃來(lái)說(shuō)，包含允許用戶部署15個(gè)虛擬機(jī)的權(quán)限等。在左側(cè)選擇“計(jì)劃”項(xiàng)，在右側(cè)點(diǎn)擊“創(chuàng)建新的宿主計(jì)劃”項(xiàng)，在向?qū)Ы缑嬷休斎朐撚?jì)劃的名稱(chēng)（例如“Project1”），在下一步窗口中選擇“虛擬機(jī)云”項(xiàng)，在列表中選擇“虛擬機(jī)云”項(xiàng)。點(diǎn)擊下一步按鈕，創(chuàng)建該計(jì)劃。

同理可以創(chuàng)建多個(gè)計(jì)劃，在列表中顯示所有的計(jì)劃項(xiàng)目，在默認(rèn)情況下，其狀態(tài)均為“私有”。如果將對(duì)應(yīng)的計(jì)劃狀態(tài)修改為“公共”，那么任何用戶都可以對(duì)其進(jìn)行申請(qǐng)，出于安全性的考慮不建議這樣設(shè)置。點(diǎn)擊對(duì)應(yīng)的計(jì)劃項(xiàng)目，在其配置界面中的“計(jì)劃服務(wù)”欄中點(diǎn)擊“虛擬機(jī)云”項(xiàng)，在“VMM管理服務(wù)器”列表中選擇目標(biāo)SCVMM 2012 R2服務(wù)器，在“虛擬機(jī)云”列表中顯示其中的所有私有云項(xiàng)目。

選擇對(duì)應(yīng)的私有云，在“使用限制”欄中可以針對(duì)虛擬機(jī)、核心數(shù)、存儲(chǔ)和虛擬網(wǎng)絡(luò)，網(wǎng)絡(luò)每秒傳入的MB，網(wǎng)絡(luò)每秒傳出的MB，每個(gè)網(wǎng)絡(luò)的站點(diǎn)到站點(diǎn)VPN數(shù)等參數(shù)進(jìn)行配置。

注意：如果沒(méi)有配置虛擬化網(wǎng)管的話，虛擬網(wǎng)絡(luò)是無(wú)法使用的。

在“模版”欄中可以對(duì)虛擬機(jī)模版進(jìn)行管理，例如添加模版和刪除模版等。

在“其他設(shè)置”欄中可以選擇是否允許創(chuàng)建，查看并還原虛擬機(jī)檢查點(diǎn)，保存虛擬機(jī)狀態(tài)，將虛擬機(jī)存儲(chǔ)到庫(kù)中并從庫(kù)中部署虛擬機(jī)，連接到虛擬機(jī)的控制臺(tái)等。點(diǎn)擊保存按鈕，可以對(duì)該計(jì)劃進(jìn)行配置。

創(chuàng)建租戶信息

僅僅創(chuàng)建了計(jì)劃是不夠的，還需要?jiǎng)?chuàng)建賬戶信息。在WAP管理界面左側(cè)選擇“用戶賬戶”項(xiàng)，在右側(cè)點(diǎn)擊“創(chuàng)建新用戶”項(xiàng)，輸入其名稱(chēng)（即電子郵件地址）和密碼，并為其選擇關(guān)聯(lián)的計(jì)劃項(xiàng)目。

點(diǎn)擊“創(chuàng)建”按鈕，來(lái)創(chuàng)建該用戶（如圖4）。WAP允許用戶自助創(chuàng)建所需的賬戶，訪問(wèn)“https://xxx:30081”地址，點(diǎn)擊注冊(cè)按鈕，輸入賬戶名和密碼，完成賬戶創(chuàng)建操作。

當(dāng)然，兩種創(chuàng)建賬戶的方法是存在差異的，后者無(wú)法綁定對(duì)應(yīng)的計(jì)劃項(xiàng)目，需要管理員手工進(jìn)行分配。如果管理員將對(duì)應(yīng)的計(jì)劃設(shè)置為公開(kāi)狀態(tài)的話，用戶就可以自行訂閱。

圖4 創(chuàng)建賬戶

在管理界面中打開(kāi)用戶賬戶界面，在其中顯示所有的賬戶信息，利用底部的按鈕，可以對(duì)其進(jìn)行掛起，重置密碼以及刪除等操作。在“配置”面板中可以調(diào)整賬戶密碼的強(qiáng)度，啟用或者禁止租戶自助服務(wù)訂閱管理，是否需要對(duì)賬戶進(jìn)行驗(yàn)證等。在“通知”面板中打開(kāi)“規(guī)則”標(biāo)簽，可以配置諸如驗(yàn)證用戶，向用戶發(fā)送用于重置密碼的鏈接，向用戶發(fā)送新密碼等操作，其默認(rèn)均沒(méi)有啟用，如果需要啟用的話，需要為WAP配置SMTP郵件發(fā)送服務(wù)。在“通知”面板中點(diǎn)擊“設(shè)置”項(xiàng)，可以配置所需的SMTP郵件發(fā)送服務(wù)的參數(shù)信息。

WAP默認(rèn)要求用戶自助創(chuàng)建賬戶，之后由管理員審批并綁定對(duì)應(yīng)的計(jì)劃。在WAP管理界面左側(cè)選擇“用戶”項(xiàng)，在右側(cè)顯示創(chuàng)建的所有用戶信息。在SCVM 2012 R2中也可以顯示這些賬戶，在其主界面左下角選擇“設(shè)置”項(xiàng)，在左側(cè)選擇“安全性”→“用戶角色”項(xiàng)，在列表中看到相關(guān)的用戶信息。

安裝和配置ADFS服務(wù)

在實(shí)際的與域環(huán)境中，為了便于集中管理用戶，往往需要使用域賬戶來(lái)登錄WAP，這就需要使用到Active Directory Federation Services聯(lián)合身份驗(yàn)證服務(wù)。

在某臺(tái)主機(jī)（例如“Twinser2”）上打開(kāi)服務(wù)管理器，點(diǎn)擊“添加角色和服務(wù)”項(xiàng)，選擇“Active Directory Federation Services”角色。

當(dāng)安裝完畢，在ADFS配置界面中點(diǎn)擊“更改”按鈕，選擇具有域管理員身份的用戶來(lái)執(zhí)行配置操作。

在下一步窗口中綁定SSL證書(shū)，輸入ADFS服務(wù)名稱(chēng)（例如“l(fā)hyz”）和其顯示名稱(chēng)（例如“l(fā)hyz.xxx.com”）。

然后依次選擇域賬戶（例如“xxxadminuser”）和 數(shù)據(jù)庫(kù)類(lèi)型（默認(rèn)為內(nèi)部數(shù)據(jù)庫(kù)），來(lái)執(zhí)行具體的配置操作。

為了防止出錯(cuò)，可以在CMD窗口中執(zhí)行“setspn -s host/lhyz xxxadminuser”命令，來(lái)配置SPN信息。

配置ADFS信任關(guān)系

為了讓W(xué)AP的站點(diǎn)可以使用到ADFS服務(wù)，需要在“Twinser2”主 機(jī) 上 打開(kāi)ADFS管理程序，在左側(cè)選 擇“ADFS” →“信 任 關(guān)系”→“信賴(lài)方信任”項(xiàng)，在其右鍵菜單上點(diǎn)擊“添加信賴(lài)方信任”項(xiàng)，在向?qū)Ы缑嬷羞x擇“導(dǎo)入有關(guān)在線或在本地網(wǎng)絡(luò)上發(fā)布的信賴(lài)方的數(shù)據(jù)”項(xiàng)，輸入合適的聯(lián)合元數(shù)據(jù)地址，例如“https://winazure.xxx.com:30081/federationMetadata/2018-07/Federationmetadata.xml”，其 中 的“winazure.xxx.com”為WAP主機(jī)的名稱(chēng)。

在下一步窗口中輸入信賴(lài)方的名稱(chēng)（例如“xlwap”），選擇“此時(shí)，我不想為此信賴(lài)方配置多重身份驗(yàn)證設(shè)置”項(xiàng)，在下一步窗口中選擇“允許所有用戶訪問(wèn)此信賴(lài)方”項(xiàng)，關(guān)閉向?qū)Ы缑妫诼暶饕?guī)則窗口中點(diǎn)擊“添加規(guī)則”項(xiàng)，在向?qū)Ы缑嬷械摹奥暶饕?guī)則模版”列表中選擇“以聲明方式發(fā)送LDAP特性”項(xiàng)，在下一步窗口中輸入規(guī)則名（例如“gz1”），在“特性存儲(chǔ)”列表中選擇“Active Directory”項(xiàng)，在“LDAP特性傳出聲明類(lèi)型的映射”列表中的“LDAP特性”列中選擇“User-Principal-Name”，在“傳出聲明類(lèi)型”列中選擇“UPN”。

按照同樣配置名為“gzzu1”的聲明，在“LDAP特性”列中選擇“Token-Groups-按長(zhǎng)域名限定”項(xiàng)，在在“傳出聲明類(lèi)型”列中選擇“GROUP”。再次創(chuàng)建規(guī)則，在“聲明規(guī)則模版”列表中選擇“經(jīng)歷或篩選傳入聲明”項(xiàng)，輸入規(guī)則名稱(chēng)（例如“pgz1”），在“傳入聲明類(lèi)型”列表中選擇“UPN”項(xiàng)。按照同樣方法創(chuàng)建規(guī)則，輸入規(guī)則名稱(chēng)（例如“pgzu1”），在“傳入聲明類(lèi)型”列表中選擇“GROUP”項(xiàng)。在左側(cè)選擇“ADFS”→“信任關(guān)系”→“聲明提供方信任”項(xiàng)，在其右鍵菜單上點(diǎn)擊“添加聲明提供方信任”項(xiàng)，在向?qū)椭屡渲眯湃涡畔?，輸入合適的聯(lián)合元數(shù)據(jù)地址，例如“https://lhyz.xxx.com/federationMetadata/2018-07/Federationmetadata.xml”，具體配置方法與上述基本一致。

配置租戶的ADFS認(rèn)證功能

在 P o w e r S h e l l窗 口 中 執(zhí) 行“Set-AdfsRelyingPartyTrust-T a r g e t I d e n t i f i e r'http://azureservices/TenantSite' EnableJWT$True”命 令，來(lái) 開(kāi) 啟 JWT認(rèn)證功能。執(zhí)行“Set-AdfsRelyingPartyTrust-TargetName "xlwap"-ClaimsProviderName @{"lhyz" }”命令，來(lái)配置租戶使用的ADFS認(rèn)證。

在WAP主 機(jī) 上 打開(kāi)PowerSHell窗 口，執(zhí) 行“$fqdn = 'lhyz.xxx.com'”，“$dbServer= 'winazure.xxx.commysql'”，“$dbPassword ='password@'”，“$portalCon figStoreConnectionString=[string]::Format('Data S o u r c e={0};I n i t i a l C a t a l o g=M i c r o s o f t.MgmtSvc.PortalConfigStor e;User ID=xxxadminuser;P assword={1}', $dbServer,$dbPassword)”，“SetSet-MgmtSvcRelyingPartySett ings-Target Tenant-Met adataEndpoint https://$f qdn/federationMetadata/2 018-07/Federationmetadat a.xml ConnectionString$portalConfigStoreConnec tionString”命令，來(lái)配置租戶的ADFS認(rèn)證功能。其中的分別配置了ADFS主機(jī)名稱(chēng)，WAP主機(jī)使用的數(shù)據(jù)庫(kù)名稱(chēng)以及密碼，同時(shí)使用了Windows身份驗(yàn)證方式。這樣，登錄WAP時(shí)可以使用域賬戶進(jìn)行訪問(wèn)。對(duì)于管理員，在創(chuàng)建用戶時(shí)只需輸入用戶名和選擇對(duì)應(yīng)的計(jì)劃即可。

在WAP中創(chuàng)建虛擬機(jī)

當(dāng)用戶訪問(wèn)“https://xxx:30081”地址，登錄之后在管理界面左側(cè)選擇“所有項(xiàng)目”項(xiàng)。

在左下角點(diǎn)擊“新建”按鈕，在打開(kāi)窗口中點(diǎn)擊“獨(dú)立虛擬機(jī)”項(xiàng)。

在右側(cè)點(diǎn)擊“快速創(chuàng)建”項(xiàng)，輸入虛擬機(jī)的名稱(chēng)，選擇所需的模版，設(shè)置密碼后點(diǎn)擊“創(chuàng)建VM實(shí)例”按鈕，可以創(chuàng)建該虛擬機(jī)。

選擇具體的虛擬機(jī)，可以以圖表形式顯示該虛擬機(jī)的CPU使用百分比，內(nèi)存使用情況，存儲(chǔ)I/O信息以及網(wǎng)絡(luò)I/O信息等。

同時(shí)可以查看虛擬機(jī)的運(yùn)行狀態(tài)，主機(jī)名稱(chēng)，操作系統(tǒng)類(lèi)型，硬件參數(shù)等內(nèi)容。

例如，窗口底部的按鈕，可以執(zhí)行連接、暫停、重啟、關(guān)閉、停止和刪除虛擬機(jī)等操作。

此外，還可以根據(jù)需要調(diào)整虛擬機(jī)大小，添加網(wǎng)絡(luò)和磁盤(pán)，對(duì)磁盤(pán)空間進(jìn)行擴(kuò)展等。在左側(cè)選擇“網(wǎng)絡(luò)”項(xiàng)，在右側(cè)點(diǎn)擊“虛擬網(wǎng)絡(luò)”-“快速創(chuàng)建”項(xiàng)，輸入其名稱(chēng)，地址空間和最大IP計(jì)數(shù)信息，點(diǎn)擊“創(chuàng)建”按鈕，創(chuàng)建該虛擬網(wǎng)絡(luò)。