Azure haastaa perinteisen konesaliajattelun – näin varmistat toimivan kokonaisuuden

Ajelehtikaamme ajatuksissamme muutamia vuosia taaksepäin aikaan, jolloin konesaleihin liittyvät kysymykset eivät sisältäneet sanaa pilvi. Ainoana vaihtoehtona oli ostaa niin sanotusta On-Premise-konesalista (paikallisesta konesalista) toimittajan tai operaattorin tarjoamaa kapasiteettia – virtuaalista tai fyysistä, ja jos onni suosi, otettiin hieman molempia.

Nyt ajat ovat kuitenkin toiset.

Esimerkiksi Azuren myötä yrityksillä on mahdollisuus käyttää julkista pilvipalvelua, Microsoftin konesalia, jolloin muun muassa hankinta- ja ylläpitomallit voidaan rakentaa uudelleen juuri yrityksen tarpeita vastaaviksi – palvelimia käytetään vain niiden tarpeen mukaan ja sovelluksilla voidaan luoda uutta liiketoimintaa.

 

Käyttöönottoon yksin vai yhdessä

Valitettavan usein uutta ajattelua ja toimintaa vaativat alustat otetaan käyttöön soveltamalla vanhaa ajattelua uudessa ympäristössä. Näin on myös asian laita siirryttäessä perinteisistä konesaleista julkiseen pilveen. Tässä kontekstissa virheeksi usein muodostuukin juuri se, että esimerkiksi Azurea ei osata hahmottaa kokonaisuutena, vaan sen sijaan yritykset jäävät tuijottamaan vain yksittäisten virtuaalipalvelimien toimintaa ja niiden sisällä tapahtuvia muutoksia.

Tässä kohtaa moni yritys sulkeekin itseltään pois mahdollista kasvua, jonka hyvä kumppani osaa osoittaa sopivilla laajennuksilla. Azuren suurin potentiaali piileekin juuri sen sovelluksissa, joilla pienikin toimisto voi loihtia uutta toiminnallisuutta liiketoimintansa tueksi. Tässäkin hyvä kumppani osaa neuvoa ja antaa tukea liiketoimintakriittisten sovellusten toimintavarmuuden takaamiseksi.

 

Vastuunkantaminen väärässä paikassa väärään aikaan

Uuden äärelle heittäytyminen vaatii uskoa ja rohkeutta. Heittäytyminen tarkoittaakin, että joskus asiat opitaan kantapään kautta. Azuren käyttöönotossa tämä voi tulla kuitenkin kalliiksi. Siksi yritysten kannattaakin miettiä, mikä palvelee parhaiten pitkässä juoksussa ja kannattaisiko osa vastuista ulkoistaa ennen kuin vahinkoja sattuu?

Hyvä kumppani nimittäin auttaa alun arkkitehtuurisuunnittelusta aina varsinaisiin palvelinsiirtoihin ja käyttöönottoon. Ja kun käyttöönottovaihe on tehty, hyvä kumppani pystyy myös tarjoamaan ylläpito- ja valvontapalvelut uusille ratkaisuille, jolloin yrityksen ei tarvitse murehtia palvelimien kaatuiluista tai kapasiteettiongelmista. Hyvällä arkkitehtuurisuunnittelulla sekä valvonta- ja ylläpitopalveluilla voidaan saada asiakkaalle turvallisuuden ja toimintavarmuuden lisäksi myös muita hyötyjä, sillä yritys voi saada aikaan huomattavia säästöjä esimerkiksi palvelimien automaattisella sammuttamisella. Säästöt voivat kivuta jopa useisiin kymmeniin prosentteihin kuukausitasolla.

 

Yhteenveto

Azure tuo paljon uusia liiketoimintamahdollisuuksia, ja hyvän kumppanin mukaan ottaminen auttaa sinua ja yritystäsi valjastamaan koko potentiaalin – hyvä kumppani ymmärtää niin asiakkaan liiketoimintaa kuin Azuren tarjoamia mahdollisuuksiakin. Kartoita ja mieti, mitä hyötyjä uusi maailma sinulle voisi tuoda. Tutustu ja vertaile palveluita ja sovelluksia, ja kun olet valmis siirtymään kohti kasvua, olemme täällä sinua varten.

Ps. Jos olet harkitsemassa siirtymistä Azureen, niin muista, että jo olemassa olevia palvelinlisenssejä voidaan hyödyntää siirrettäessä ja rakennettaessa palvelimia Azureen. Et siis maksa tuplalisenssejä. Otahan yhteyttä, niin kerromme lisää.

Lisää Azuresta kuulet maksuttomassa webinaarissa ke 25.1. Lue lisää


Azure Backup Services

Azure Backup Services on ollut saatavilla jo pitkään. Palvelu on kehittynyt huomattavasti. Siihen on useasti lisätty uusia ominaisuuksia ja hinnoitteluakin on korjailtu moneen kertaan. Tässä blogiartikkelissa käyn läpi, mitä Azure Backup Services nykyisillään sisältää, mitä voimme varmuuskopioida ja mitä sudenkuoppia täytyy välttää, jotta palvelusta olisi mahdollisimman paljon hyötyä.backup

Palvelu oli pitkään vain ASM- (Classic) puolella Azuressa, mutta on nykyään saatavilla myös ARM-puolelta. Pidän edistysaskeleena sitä, että ASM- ja ARM- virtuaalikoneiden varmistus hoituu nykyään samasta hallintakonsolista. Niille, joille ARM- ja ASM-käsitteet eivät ole tuttuja: kyseessä on Azuren vanhasta ja uudesta portaalista, joiden erot ovat käyttöliittymässä. Myös pinnan alta ne ovat merkittävissä määrin erilaiset.

Palvelua varten tarvitaan ensin Backup vault, johon kaikki varmuuskopiot tallennetaan. Levyvaihtoehtoina  löytyy Azuresta tutut LRS ja GRS, joista LRS on yhdessä konesalissa kolmelle eri levypinnan tallennus ja GRS on kahdessa eri konesalissa kolmelle eri levypinnan tallennus. Luonnollisesti GRS-levypinta on kaksi kertaa kalliimpaa kuin LRS-levypinta. Huomattavaa on ettei Backup vaultin tallennusmuotoa voi vaihtaa sen jälkeen, kun ensimmäinen varmuuskopio on tallennettu säilöön. Kuitenkin useampia säilöjä voi olla, joten kriittiset voidaan tallentaa GRS-säilöön ja loput hieman edullisempaan LRS-säilöön.
Koko palvelulle Microsoft lupaa 99.99 prosentin käytettävyyden.

Azure Backup -palvelu käyttää aina omaa suojattua yhteyttä siirtäessään varmuuskopioita pilveen riippumatta siitä, onko käytössä VPN- tai Expressroute- yhteys Azuren palveluihin.

Itse palvelu koostuu kolmesta erillisestä ohjelmasta, jotka seuraavaksi käyn läpi.

Tiedostojen varmuuskopiointi

Yksinkertaisimpana osana on pelkän datan varmistaminen Azureen. Azuresta on saatavana Azure backup agent to Azure -sovellus. Ohjelma ladataan varmistettavalle palvelimelle, asennetaan, ja tämän jälkeen määritetään sopivat varmuuskopiointiasetukset. Ohjelma varmuuskopioi ensin puskuria koneen paikalliselle kovalevylle, ja tämän jälkeen ohjelmisto varmistaa määritetyt tiedostot verkon nopeudesta riippuen Azuren levypinnalle.

Sovelluksessa on huomioitava, että varmuuskopinti tarvitsee  5%:n välivaraston ennen kuin tiedostot varmuuskopioituvat pilveen. Keskitettyä hallintaa ei ole, vaan varmuuskopiot täytyy määrittää jokaiselta palvelimelta erikseen. Uusimmassa portaalissa näkee kuitenkin varmuuskopioiden tilan keskitetysti. Varmuuskopioiden salaus tehdään paikallisessa ympäristössä ennen kuin data lähetetään. Salausta varten täytyy tehdä oma salausavain, jolla kaikki varmuuskopiot salataan. Tätä avainta ei kannata hukata, koska salausavaimen hukkuessa, myös varmuuskopiot ovat saavuttamattomissa.

buagent

Ominaisuudet pähkinänkuoressa
– Windows -palvelimien tiedostojen varmuuskopiointi
– Ei keskitettyä hallintaa, vain tilatieto nähtävissä portaalista.
– Yksittäisen palvelimen tai tietovaraston pitkäaikaiseen varmuuskopiointiin

 

Palvelimien ja työkuormien varmuuskopiointi

Kun halutaan varmuuskopioida paikallisia palvelimia ja erilaisia työkuormia, Azure Backup Service tarjoaa tähän ratkaisuksi Microsoft Azure Backup Server for Applications -ohjelmiston. Ohjelmiston asennus vaatii oman palvelimen ja SQL- serverin. SQLv-serverin voi asentaa myös samalle palvelimelle kuin itse varmuuskopiointi ohjelmiston, ja mikä parastaSQL lisenssi  kuuluu hintaan, kunhan SQL -palvelinta käytetään vain ohjelmiston tietokantana.

Ohjelmiston asennuksen jälkeen System Center DPM -käyttäjät löytävät mukavan yllätyksen. Ohjelmisto on sama ohjelma kuin DPM, mutta tästä on poistettu vain nauhavarmistusominaisuus. Todellisuudessa SCDPM -käyttäjien ei tarvitse ladata ja asentaa Backup Serveriä, vaan voivat intergoida nykyisen DPM järjestelmänsä suoraan pilveen Azuresta saatavalla DPM laajennusosalla.

Ohjelmistolla onnistuu tärkeimmät varmuuskopiointitehtävät, kuten SQL- tietokantojen, Exchange- ja Sharepoint -varmistukset. Tarjolla on myös Bare Metal- varmuuskopiointi, kuten myös pelkän datan varmuuskopiointi.
Kuten DPM:kin, Azure backup Services for Applications ominaisuuksien puolesta soveltuu myös yrityksen ainoaksi varmuuskopiointi ohjelmistoksi.

Ohjelmisto ei varmuuskopioi suoraan Azureen, vaan vaatii ensimmäiseksi varmuuskopiointisijainniksi paikallisen levyn/levyjärjestelmän, johon tallenetaan ensimmäinen varmuuskopio. Täysin pelkästään pilven varaan siis ei voi jäädä, mutta todellisessa varmuuskopiointitilanteessa paikallinen kopio varmuuskopioista on käytännössä pakollinen.
Ainoa kaipaamani ominaisuus ohjelmistossa on deduplikointi Azureen menevissä varmistuksissa, mutta kun levytila on edullista, niin tämäkin on enemmän vain tälläisen teknisen ihmisen” Hienoa, jos olisi”-asia.

buserver

Ominaisuudet pähkinänkuoressa.
– Windows palvelimien ja työasemien varmuuskopiointi
– Keskitetty hallinta kaikille varmuuskopiolle
– Täysverinen varmuuskopiointiohjelmisto
– Nauhavarmistuksen korvaaja

Azure-virtuaalipalvelimien varmuuskopiointi

Kolmantena osiona varmuuskopiontipalvelussa on Azure-virtuaalipalvelimien varmuuskopiointi. Palvelu on vain ainoastaan Azuren-virtuallipalvelimien varmuuskopiontiin tarkoitettu ja täysin portaalista hallittavissa. Azuresta luotuihin palvelimiin ei ole tarpeellista asentaa erillistä agenttia, vaan sen asennetaan palvelimen pysytysvaiheessa automaattisesti. Jos käytössä on omia levykuvia tai omia linux distroja, niin VM Agent täytyy asentaa ennen kun palvelu tunnistaa sen varmuuskopionnin piirin.

Palvelu pohjautuu VSS Full Backup-ominaisuuteen, jolloin myös esim. Exchange trunk -logit tyhjentyvät. Palvelu ottaa snapshotin palvelimesta, joka tallennetaan Azuren levypinnalle valittuun varmuuskopiontisäilöön. Varmuuskopioiden hallinta ja valvonta onnistuu helposti portaalista. Linux palvelimista on mahdollista ottaa vain tiedostopohjaisia varmuuskopioita. Tämä onkin ainoa Azuren varmuskopioiden osio, joka tukee Linux -varmuuskopiointia.

Kun virtuaalipalvelimet varmuuskopiodaan,  palautus täytyy tehdä aina koko palvelin kerralla. Tässä tuleekin varmuuskopion heikoin puoli, kun yksittäisien tiedostojen palauttaminen ei onnistu suoraan, vaan koko palvelin joudutaan aina ensin palauttamaan vähintään levypinnalle, josta käydään hakemassa tarvittavat palautukset. Myöskään yksittäisten työkuorimien varmuuskopioiminen ei ole vielä mahdollista.

 

buvm

Ominaisuudet pähkinänkuoressa.
– Azure -virtuaalipalvelimien varmuskopiointi
– Keskitettyhallinta portaalista
– Käyttöönoton helppous
– Ei mahdollista varmuuskopioda yksittäisiä tiedostoja
– Linux -palvelimista vain tiedostovarmuuskopioita

Nykyinen hinnoittelumalli palvelussa on yksinkertainen. Maksat varmistettavan datan viedystä levytilasta ja instanssimaksun palvelimesta. Instanssimaksu muodostuu palvelimen koon mukaan. Halvin maksu löytyy 0-50GB -palvelimista ja sen jälkeen instanssihinta muodostuu jokaisen 500GB jälkeen. Todellisuudessa tämä tarkoittaa sitä, että jokaisen palvelimen 500 GB ylittävästä osasta tulee uusi instanssimaksu.

Azure Backup Service kuitenkin kehittyy jatkuvasti ja odotettavissa on ainakin työkuormien varmuuskopiointi Azure virtuaalipalvelimista. Tätä kutsutaan nimellä DPM-Lite ja odotettavissa on tämän myötä myös yksittäisten tiedostojen varmuuskopiointi Azure virtuaalipalvelimista.

Täydellinen tämäkään varmuuskopioratkaisu ei ole. Kaikki hallinta olisi mukava saada yhden portaalin alle kokonaisuudessaan. Myös vanhempien palvelinversioiden tuki on hieman heikko. Esimerkiksi Windows server 2008 R2 -palvelinta varmuuskopioitaessa yksittäisien levyosion yläraja on vain 1.7TB.  Kokonaisuudessaan Azure Backup Services alkaa olla jo hyvinkin kattava yrityksen ainoaksi varmuuskopiontiratkaisuksi.

AD pilvessä – Azure AD Domain Services

Azure Active Directory -tiimi julkaisi erittäin mielenkiintoisen uutuuden nimeltä Azure AD Domain Services.

Azure AD DS  mahdollistaa Azure-virtuaalipalvelimien lisäämisen Azure AD -palveluun perinteisellä tavalla ilman erillisiä domain controller -virtuaalikoneita.  Palvelu mahdollistaa Kerberos- ja NTLM-autentikoinnin, LDAP-protokollan ja jopa Group Policyt Azure-virtuaalipalvelimille.

Noin 90% prosentissa Enterprise-kokoluokan yrityksistä on käytössä perinteinen Active Directory. Näissä yrityksissä on myös miljoonia sovelluksia, jotka pohjautuvat perinteisiin Active Directory -autentikoimismenetelmiin. Nykyinen Azure AD tukee vain moderneja web-pohjaisia OAuth 2.0- ja SAML-autentikointeja, joten Microsoft on vastannut haasteeseen lisäämällä palveluunsa täysin ylläpidetyn Domain Services palvelun. Tämä tulee helpottamaan pilvi-AD:n käyttöönottoa varsinkin SaaS palveluntarjoajilla.

Palvelu pohjautuu kahteen modifioituun toimialueenohjauspalvelimeen. Domain Servicen  ja Azure AD:n välille on tehty integraatio, jossa Azure AD:n käyttäjät saadaan toimialueen käyttäjiksi. Palvelu toimii pelkän Azure AD:n kanssa ja myös yrityksissä, joissa on käytössä Azure AD:n ja paikallisen AD:n välinen synkronointi. Jälkimmäisessä skenaariossa täytyy kuitenkin huomioida se, että AD DS -palvelu on täysin riippumaton paikallisen ympäristön metsästä  ja näiden palveluiden välille ei ole mahdollista tehdä suoraa integraatiota.  Paikallisesta ympäristöstä voidaan synkronoida perinteiseen tapaan tunnukset Azure Dd:hen, josta sitten AD DS -palvelu löytää käyttäjät.

 

Käyttöönotto

Palvelun voidaan ottaa käyttöön Azure AD:n hallinnasta. Toimialueen nimeksi palvelu ehdottaa oletuksena .onmicrosoft.com nimeä, mutta tämän voi määrittää itse haluamakseen.  Palvelu on hinnoiteltu AD objektien määrän mukaan. Previewissa on vain yksi paketti tarjolla, eli 5000-25000 objektia. Tämä riittää kyllä suomalaisessa mittapuussa suurimmalle osalle testaukseen.

Palvelun käyttöönotto vaatii myös AAD DC Administrators- ryhmän luonnin Azure AD:hen. Tämän ryhmän jäsenet saavat  rajoitetun järjestelmävalvojan oikeudet AD DS -palveluun. Oikeudet mahdollistavat järjestelmävalvojan tehtäviä toimialueessa, kuten toimialuekoneiden liittämisen ja Group Policyjen luonnin.

 

Mitä voimme tehdä palvelussa?

Palvelun käyttöönoton jälkeen Azure-virtuaalikone voidaan liittää perinteisellä tavalla toimialueeseen.

Kun asennamme palvelimelle Remote Server Administrator -työkalun pääsemme tutkimaan AD:n rakennetta. Kuten huomaatte, Azure AD DS on luonut kaksi toimialueen ohjauspalvelinta. Oletus-A- rakenteen lisäksi  tulee automaattisesti kaksi OU:ta AADDC Computers ja AADDC Users. Kumpaankaan näistä ei voi tehdä muutoksia. Computers O:hunn ilmestyvät liitetyt koneet ja Users OU:hun tulevat Azure AD -käyttäjät ja -ryhmät. Kaikki ryhmiin lisäämiset ja käyttäjien muokkaukset täytyy tehdä Azure AD:n kautta.

Lisäksi rakenteesta löytyy Management Services Account OU. Tämä näyttää olevan ainoa OU johon voi tehdä muutoksia. Käyttäjien lisääminen ei onnistu, mutta ryhmien ja tietokoneiden lisääminen on mahdollista. OU:n tarkoitus jäi hieman hämärän peittoon, mutta nimestä päätellen tätä on tarkoitus käyttää eri palvelutunnuksiin.

Nimipalveluihin ei ole oikeuksia.

Ryhmäkäytäntömäärityksiä voidaan tehdä vain ylätasoille, Computers OU:hun ja Users OU:hun. Mitään alirakennetta ei ole mahdollista luoda, eikä  kohdentaa ryhmäkäytäntöjä atribuutteihin tai käyttää WMI-filttereitä. Tämä voi tuottaa ongelmia joillekin, mutta perustason ryhmäkäytännöt riitävät aika pitkälle.

Ryhmäkäytännön toimivuuden testausta. GPO:lla määritettiin aloitussivu Internet Exploreriin.

Nyt julkaistu Azure AD Domain Services preview on kauan odotettu palvelu Azure AD:hen.  Nykyisissä ympäristöissä on Kerberos ja NTLM -autentikointia vaativia ohjelmia vielä pitkään,  mutta monille tämä mahdollistaa jo täydellisen poistumisen itse hallittavista toimialuepalvelimista. Kysymys kuulukin, onko tämä siirtymään tarkoitettu palvelu, vai tuleeko tämä integroitumaan tiukemmin Azure AD:n kanssa? Tulevaisuus näyttää mikä tämän palvelun todellinen rooli tulee olemaan.


OneDrive ja OneDrive for Business yhdistyivät

onedriveMicrosoft ilmoitti tammikuussa yhdistävänsä yritys- ja kuluttajaversiot OneDrive-ohjelmasta. Uusimman OneDrive-esiversion myötä tämä on tullut vihdoinkin toteen. Microsoftin Roadmapin mukaan yleisesti saatavilla oleva (eli Generally Available / GA) ohjelmisto julkaistaisiin jo tämän kalenterivuoden aikana! Nyt julkaistussa esiversiosta löytyy yksi odotetuista ominaisuuksista, eli valikoiva synkronointi.

Microsoftin uusin esiversio OneDrive-ohjelmasta yhdistää kuluttaja- ja yritysversion

Päivitys vaatii OneDrive-kuluttajaversion asennuksen koneelle. Itse päivitys tehdään rekisterimuutoksella, joka antaa mahdollisuuden lisätä yritystunnuksen samaan ohjelmaan. Päivitys tukee Windows 7-, 8- ja 10-käyttöjärjestelmiä. Windows 8.1 ja Vista eivät vielä ole tuettuja – 8.1-tuen arvioidaan valmistuvan vuoden 2016 alkupuolella.

Päivityksen asennus

  • Tarkista nykyisen ODfB:n synkronoinnin tila ja varmista että kaikki tiedostot ovat synkronoituneena pilveen.
  • Lopeta ODfB-synronointi.

yksi

  • Nimeä ODfB-kansio ODfBkansio.bak nimiseksi. Kansio löytyy polusta C:\%userprofile%\
  • Lataa pakattu asennustiedosto. Linkki
  • Pura tiedostot omaan kansioon.
  • Suorita Admin-kansiossa olevat rekisterimuutokset.
  • Lataa/päivitä OneDrive-kuluttajaversio. Linkki
  • Esiversio vaatii ensin henkilökohtaisen OneDrive-tilin määrityksen . Kun henkilökohtainen kansio on asennettu, voit OneDriven asetuksista Account-välilehdeltä määrittää yritystilisi.

kaksi

 

Päivitys mahdollistaa samat ominaisuudet kuin OneDrive-kuluttajaversiossa, joista odotetumpana parannuksena löytyy valinnat synkronoitavista tiedostoista. Uusi sovellus siis mahdollistaa synkronoitavien tietojen valinnan. Ominaisuus antaa mahdollisuuden hyödyntää paremmin OneDriven rajatonta tallennustilaa huolehtimatta työaseman tallennustilan määrästä.

kolme

Ongelmana esiversiossa on, ettet voi käyttää OneDrive For Business -selainkäyttöliittymässä olevaa synkronoi-toimintoa. Jos valitset synkronoi, vanha ODfB aukeaa ja liittää synkronoitavan kansion vanhaan ODfB ohjelmaan. Kyseessä on esiversio ohjelmasta, joten siinä on muitakin rajoituksia jotka pyritään poistamaan ennen lopullisen version julkaisua. Näistä löytyy lista asennuspaketin release notes -dokumentista. Suosittelen tutustumaan asennustiedostoihin ennen asennusta, ja muutenkin kokeilemaan omalla vastuulla. Esiversio on ladattavissa täältä.