PROOF OF CONCEPT MICROSOFT CLOUD

PROOF OF CONCEPT MICROSOFT CLOUD SPS whitepaper André de Koning IS EEN COMPLEXE IT-OMGEVING MOGELIJK IN AZURE?

Inhoud 03 : Proof of Concept 05 : Netwerktoegang 07 : Core backend-omgeving 09 : Azure Active Directory 11 : Remote Desktop omgeving 13 : SQL Server 15 : Windows applicatieservers 17 : Linux applicatieservers 19 : Back-up en recovery 21 : Azure Automation en Powershell 23 : Office 365 diensten 25 : Azure SLA 27 : Conclusie 2

Proof of Concept SPS heeft een Proof of Concept ( POC ) uitgevoerd op een volledige backend IT-omgeving in de Microsoft Cloud. Hierbij zijn waardevolle lessen geleerd en het heeft aangetoond dat een complete omgeving in de Microsoft Cloud(s) absoluut mogelijk is als men bereid is om de randvoorwaarden te accepteren. Zeker belangrijk is het opdoen van kennis en vaardigheden voordat men aan een dergelijk project begint. In dit whitepaper gaan wij in op de geleerde lessen, overwegingen en beperkingen bij het plaatsen van een complexe IT-omgeving in Azure. De POC-omgeving maakt gebruik van zowel de Microsoft Office 365 SaaS (Software as a Service), en de Azure IaaS (Infrastructure as a Service) en PaaS (Platform as a Service) diensten. Op hoofdlijnen omvatte de POC het inrichten, testen en beoordelen van: de netwerktoegang; de core backend-omgeving; Azure Active Directory; de remote desktop-omgeving; SQL Server; Windows applicatieservers; Linux applicatieservers; back-up en recovery; Azure automation en PowerShell; Office 365 diensten; Azure SLA. 3

Cloud Exchange Colocation Point-to-point Ethernet Connection Any-to-any (IPVPN) Connection Azure Azure Azure ExpressRoute ExpressRoute ExpressRoute WAN Microsoft ExpressRoute koppelingen 4

Netwerktoegang Voor een productieomgeving is de meest verstandige keuze waarschijnlijk Microsoft ExpressRoute, Hiermee wordt een vaste en gegarandeerde koppeling gerealiseerd, voor zowel Office 365 en MS Azure, vanuit het eigen WAN netwerk naar de Microsoft cloud. Voor een POC, die veelal gedurende een korte periode wordt uitgevoerd, is een dergelijke koppeling niet eenvoudig te leggen en zijn er alternatieven bedacht. Voor toegang tot de Office 365-producten en -diensten is een reguliere internettoegang gebruikt. Dit wordt vaak gezien als een worst case scenario, omdat het publieke internet minder betrouwbaar wordt geacht. Tijdens de POC is vastgesteld dat de Office 365-producten bewust ontworpen zijn om goed om te gaan met vaak wisselvallige internetconnecties. Office 365 gebruiken in een productieomgeving met een reguliere internetconnectie is zeker een optie. Kijk naar de beperkingen van de dynamische gateway Voor toegang tot Azure is gekozen om een VPN op te zetten vanuit elke vestiging waar er getest is. Dit zorgt voor beveiligd verkeer tussen interne clients en servers, en virtual machines (VM s) draaiend binnen de Azureomgeving. Als VPN s nodig zijn naar meer dan een site of vestiging, is het belangrijk dat een zogenaamde dynamic gateway binnen Azure geconfigureerd wordt. Die gateway heeft een aantal beperkingen. Bijvoorbeeld, een Cisco ASA, vaak in gebruik in Nederland, ondersteunt niet het opzetten van Azure dynamic VPN s 1. Kijk dus bij het maken van het ontwerp goed naar de documentatie en beperkingen van de oplossing voor de gateway. 1 Stand van zaken per januari 2016 5

6 Microsoft Azure Preview Portal

Core backend-omgeving Azure Directory De core backend-omgeving bestaat uit een Active Directory domain controller (en DNS server), een fileserver, een printserver en een algemene beheerserver. Voor al deze server rollen is de D1 virtual-machine-type gebruikt. Een goedkoper alternatief zou de A-series VM s kunnen zijn, maar wij constateerden dat de A1 VM s, met maar 1,75GB geheugen, net iets te traag zijn. De D-series VM s hebben lokale SSD opslag en snellere CPU s. Een D1 VM met 1 CPU en 3,5GB geheugen bleek (in ieder geval voor de bovengenoemde servers) sneller te zijn dan een A2 met 2 CPU s met dezelfde geheugengrootte (3,5GB). De D1 VM is iets goedkoper dan de A2 VM, dus is de A2 VM alleen zinvol als de aantal CPU cores van belang zijn, iets dat hier niet het geval is. Verder is het belangrijk te weten dat alle Azure VM s een tijdelijke drive krijgen met als driveletter de D:. Deze D: drive is alleen te gebruiken voor tijdelijke opslag en wordt soms, bijvoorbeeld als een VM fysiek uitgezet wordt, opnieuw leeg aangemaakt. Als de veel gebruikte best practice wordt gevolgd waarbij applicaties en data op een andere drive (meestal ook D:) wordt geplaatst dan de operating system, kan het mis gaan als de D: drive onverwachts leeggemaakt wordt. Dus zorg ervoor dat een zelf aangemaakt data disk een andere drive letter dan de D: krijgt. IP-adressen Belangrijk is dat Azure zelf IP-adressen toekent aan de virtuele servers en dus ook aan de AD-domain controller VM en daardoor krijgt deze een dynamic IP-adres. Voor de AD is het natuurlijk belangrijk dat het IP-adres nooit wijzigt. Hier is een aantal mogelijkheden voor met Azure PowerShell, of de nieuwe Azure Portal 2. Gewoon met de hand een IP-adres instellen binnen Windows is niet ondersteund en zeker niet aan te raden. Azure Portal Er zijn twee opties beschikbaar voor het maken en beheren van Azure-servers en diensten. De eerste optie is de traditionele service management modus met de erbij horende Azure Management Portal. De tweede optie is de nieuwe resource management modus met de nieuwe Microsoft Azure Preview Portal. Een aantal Azure diensten is nog niet beschikbaar in de nieuwe portal 3 of maakt (nog) geen gebruik van de nieuwe Azure resource manager modus, waardoor automatisch wordt doorverwezen naar de oude, traditionele Azure Management site. Een aantal functies (zoals het maken van resource groepen, bekijken van boot diagnostics of het vastzetten van een VM IP adres), is alleen beschikbaar binnen de nieuwe Azure Preview Portal. De verwachting is dat het niet lang duurt voordat de ontbrekende functionaliteiten zijn toegevoegd aan de nieuwe portal. Disaster Recovery Een fail-over binnen Azure betekent dat de complete datacenter-omgeving in een ander Microsoft datacenter wordt gebruikt. De beslissing om en fail-over te doen kan niet door de klant worden genomen, Microsoft besluit zelf of en wanneer een fail-over nodig is. Om toch zelf controle te krijgen (bijvoorbeeld om een enkele server een fail over te geven naar een DR data center) is besloten een tweede AD-omgeving in te richten in een tweede Azure datacenter. Alle Azure datacenters zijn beschikbaar in geographically redundant paren van twee met snelle netwerkconnectiviteit tussen de twee datacenters. Voor West-Europa is het primaire Azure datacenter Amsterdam en de DR tegenhanger is het Azure datacenter is Dublin, Ierland. In het Dublin datacenter is een tweede AD domain controller opgebouwd in een tweede subnet en dus een tweede AD site, die de continuïteit van onze AD borgt. Hier kunnen additionele VM s naar worden verplaatst en teruggehaald als dat nodig is. In een productieomgeving kan op de DR-site een aantal additionele servers klaar staan voor een eenvoudige fail-over. Microsoft besluit zelf of en wanneer een fail-over nodig is 2 Begin december 2015 operationeel 3 Stand van zaken januari 2016 7

Windows Server Active Directory Simple connection Self-service Single sign on Username Other Directories On-premises Microsoft Azure Active Directory Public Cloud Cloud SaaS Microsoft Azure Active Directory 8

Azure Active Directory Cloud Identities Gebruikersgegevens binnen Office 365 worden opgeslagen binnen Azure Active Directory. Om met dezelfde gebruikersnaam en wachtwoord in te kunnen loggen op alle omgevingen, bijvoorbeeld binnen Office 365 en binnen de eigen on-premise remote desktop omgeving (en ook andere SaaS applicaties waar nodig), is een koppeling gemaakt tussen de eigen on premise Active Directory en de Azure Active Directory. Op deze manier heeft elke gebruiker een eigen cloud identity die overal hetzelfde blijft en een zekere mate van single sign on geeft. De synchronisatie tool genaamd Azure AD Connect is op de domain controller VM geïnstalleerd om te zorgen dat gebruikersgegevens in de lokale Active Directory beschikbaar zijn in de Azure AD, en dus voor Office 365. Deze tool synchroniseert geselecteerde gebruikersgegevens naar de Azure AD, maar kan ook zorgen dat wijzigingen terug gesynchroniseerd worden naar de eigen AD. Deze optie is handig als bijvoorbeeld Azure AD-gebruikers zelf een password-reset mogen uitvoeren, met de password write back wordt het wachtwoord ook in de eigen AD gewijzigd. MyApps portaal. Aangezien hier alleen Azure AD-functionaliteit gebruikt wordt, is het inrichten van een eigen Federation server en Reverse Proxy server niet meer nodig, waardoor de omgeving een stuk simpeler wordt. Additionele functionaliteiten Het is belangrijk dat de User Principal Name binnen de eigen Active Directory goed ingesteld is en gelijk is aan de cloud username (bijvoorbeeld gebruiker@mycloud.nl). Dat zorgt voor eenduidigheid en voorkomt verwarring aangezien deze gebruikersnaam ook de identiteit binnen Office 365 wordt. Verder heeft de Azure AD veel aanvullende functionaliteiten zoals Multifactor (token-) Authentication, Self Service opties, integratie met Intune. Deze extra s vallen buiten de scope van de POC. Synchronisatie tussen eigen AD en Azure AD veelal nodig Remote desktop toegang Voor toegang tot de eigen remote desktop omgeving (zie volgend hoofdstuk) is de Windows Web Application Proxy gebruikt, waarvoor Federation ingeregeld is tussen Azure AD en de eigen AD. Deze stap is voor een volledige cloud-omgeving nu niet meer nodig, maar de benodigde Azure functionaliteit kwam pas beschikbaar voor productieomgevingen halverwege de POC-implementatie. Nu kan de Azure Application Proxy worden gebruikt voor het publiceren van eigen, interne resources zoals de Remote Desktop Web Interface website of andere interne sites. Deze oplossing installeert een agent op de te publiceren server en zorgt dat de applicatie of website beschikbaar is binnen de Microsoft 9

10 Publishing applications

Remote Desktop omgeving Eigen RDS of RemoteApp? Voor het publiceren van legacy applicaties naar gebruikers is een Microsoft Remote Desktop Services (RDS) omgeving opgebouwd. De Azure RemoteApp gebruiken kan ook, maar voor maximale flexibiliteit, en omdat er veel oudere applicaties in gebruik zijn, is gekozen voor een eigen RDS-omgeving. De RDSomgeving bestond uit een RDS session host (terminal server) en een aantal aanvullende serverrollen, namelijk een session broker en een web interface. Als na het maken van de RDS-omgeving blijkt dat alle applicaties goed werken op basis van Windows 2012 R2, is gebruik van de Azure RemoteApp desktop as a service een alternatief. Het voordeel van Azure RemoteApp is dat Azure VM s niet nodig zijn en dat Microsoft zorgt voor de performance en beschikbaarheid van de omgeving. Dus een eigen session broker of web interface is niet nodig en zelf RDS terminal servers uitrollen kan dan achterwege blijven. Microsoft zorgt voor het geheel. User Profile Disks Office 365 maakt gebruik van SharePoint en OneDrive voor documentopslag. Deze diensten zijn online te benaderen vanuit Officeapplicaties en een web browser. Dit is niet altijd voldoende. Men wil de bestanden ook met Windows Explorer kunnen benaderen. Hiervoor is synchronisatiefunctionaliteit beschikbaar tussen de Office 365 cloudopslag en de lokale werkplek. Als de lokale werkplek echter een Windows RDS Server is, betekent het dat elke gebruiker data gaat synchroniseren naar de lokale harde schijf van de RDS server. Dat is natuurlijk niet praktisch als van meerdere RDS servers gebruik wordt gemaakt. Als reguliere internetconnectiviteit wordt gebruikt voor toegang tot e-maildata binnen Office 365, is het soms handig deze data offline te kunnen gebruiken, dus opgeslagen binnen Outlook. Voordelen hiervan zijn verbeterde zoekfunctionaliteit binnen Outlook en sneller gebruik van grote mailboxen. Voor bovengenoemde zaken hebben we Microsoft User Profile Disks (UPD) als oplossing gebruikt. Een UPD is een persoonlijke virtuele harde schijf die na het inloggen automatisch gekoppeld wordt aan de RDS server en waarop het user-profiel en lokaal gecachte data worden opgeslagen. Zo wordt de offline cache van OneDrive en SharePoint, en van applicaties als Outlook of Dynamics meegenomen tussen RDS servers. De data hoeven niet elke keer opnieuw gedownload te worden. Voor de POC is gekozen de UPD disks op te slaan op de gemaakte virtuele file server. Om In een grotere productieomgeving UPD bestanden rechtstreeks binnen de Azure Storage Account op te slaan, is het ook mogelijk gebruik te maken van de nieuwe Azure File Services. Published Applicaties De RDS-omgeving is gebruikt om alleen published applications te publiceren richting gebruikers, en dus geen volledige desktops. Deze keuze verlaagt de complexiteit en beheerlast van de RDS-omgeving en biedt voordelen voor de veiligheid, stabiliteit en performance. De RDS published applicaties zijn aangeboden en getest op verschillende manieren, t.w. met de Remote Desktop Web interface en de RSS-feed methode, en op verschillende client devices zoals PC s en thin clients. Microsoft RDS werkt tegenwoordig op bijna alle toestellen en operating systems. Er zijn apps beschikbaar voor Android en ios om de toegang en het gebruik te vergemakkelijken. VM Keuze Een belangrijke keuze is de VM-type te gebruiken voor de RDS session hosts (terminal servers). De A9 tot A10 VM s-types zijn hier Microsoft RDS werkt op bijna alle apparaten en operating systems 11

zeer geschikt voor aangezien ze snellere CPU s hebben dan de andere A en D series servers. Iets dat van belang is als oudere legacy en dus vaak single threaded applicaties worden gebruikt. Azure ontwikkelingen gaan echter heel snel en sinds kort zijn snelle CPU s ook beschikbaar in de andere VM-types, bijvoorbeeld de nieuwe D1v2 VM s. Het is dus belangrijk goed te beoordelen wat de applicaties precies vragen, snelle CPU s, veel geheugen of juist snellere schijfopslag en op basis hiervan de VM keuze te maken. Autoscale Azure heeft een interessante optie genaamd autoscale die van belang kan zijn voor omgevingen waar de behoefte aan verwerkingscapaciteit op verschillende dagen en tijdstippen erg verschilt. Met autoscale is het mogelijk op bepaalde tijden extra servers op te starten of juist uit te zetten. Dit kan leiden tot enige besparing omdat Azure VM s per uur worden gefactureerd. Tijdens deze POC is de optie kort beoordeeld. Een uitgebreide beoordeling zou te veel tijd vragen en is daarom buiten de scope van de POC geplaatst. 12

SQL Server Een belangrijk databaseplatform voor de meeste Windows-omgevingen is natuurlijk SQL server. Binnen Azure is SQL-databasefunctionaliteit op twee manieren af te nemen, als een reguliere (IaaS) virtuele machine met SQL Server erop geïnstalleerd of als platform (PaaS), in de vorm van Azure SQL. op Azure SQL. In een meer complexe productieomgeving zou elke applicatie uitvoerig getest moet worden om te bepalen of die wel of niet geschikt is om op Azure SQL te draaien. IaaS Voor een IaaS VM biedt Microsoft een aantal templates met SQL erop geïnstalleerd en geconfigureerd. Deze worden volledig ondersteund en bevatten de licenties benodigd voor Windows en SQL Server. Van belang is de vereiste diskperformance. Reguliere Azure opslag heeft namelijk een aantal performancelimieten, bijvoorbeeld een maximum van 500 IOPs per virtuele disk. Dit maximum zou te laag kunnen zijn voor een SQL server. Een oplossing is om meerdere disken te gebruiken (bijvoorbeeld met striping vanuit Storage Spaces) of door gebruik te maken van premium storage, die veel hogere performance limieten kent (bijvoorbeeld tot 5000 IOPs per disk). Shared Lower Cost Dedicated Higher Cost On premises Physical SQL Higher administration Virtual SQL Server Physical Machines (raw iron) Hybrid Cloud Infrastructure as a service SQL Platform as a service SQL Server in Azure VM Virtualized Machines SQL Server Private Cloud Virtualized Machines + Appliances Software as a service Azure SQL Database Virtualized Databases Off premises Lower administration Azure SQL De andere optie is Azure SQL PaaS, of meer accuraat Database as a Service. Hiermee wordt alleen een SQL database afgenomen en niet een complete virtuele server. Microsoft zorgt voor de infrastructuur, de updates en veiligheid van de omgeving. De afnemer hoeft alleen te zorgen voor de inhoud van de database. De kosten voor Azure SQL zijn gebaseerd op het aantal transacties en de mate van HA en DR (bijvoorbeeld SQL Standard of SQL Enterprise Always On). Het is belangrijk goed te testen of de beoogde applicatie wel werkt met Azure SQL aangezien het geen reguliere SQL Server is en niet alle SQL-functionaliteit ondersteunt. SQL Server implementaties Bij de POC is een applicatie gebruikt die databaseonafhankelijk is en dus prima draait 13

14

Windows applicatieservers Converteren of nieuwe aanmaken Twee applicaties in de POC omgeving maken gebruik van Windows applicatieservers. Eerst is geprobeerd om de bestaande (VMware) virtuele machines te converteren en te importeren binnen Azure. Dit wordt ondersteund, maar in de meeste gevallen is het zinvoller om gewoon een kale, nieuwe Windows server uit te rollen en de applicatie hierop opnieuw te installeren. Vooral als de applicatie, of onderliggende Windows server, toch verouderd is en dus een upgrade moet krijgen, is deze optie waarschijnlijk de beste. Let goed op de vereiste stappen en ook of de gebruikte Windows versie wel of niet ondersteund wordt door Azure, als een applicatieserver niet opnieuw te installeren is en het conversieproces moet worden gevolgd. Bijvoorbeeld Windows 2003 wordt niet ondersteund en de geconverteerde server moet goed getest worden alvorens het uploadproces naar Azure te starten. Geen console toegang Toegang tot de console van een virtuele server binnen Azure is niet mogelijk. Dat betekent dat als een server, na conversie en import, niet vanzelf goed opstart er geen console is om hem te repareren. De server moet lokaal (bijvoorbeeld binnen Hyper-V) worden hersteld en opnieuw worden geüpload, of de C-schijf van de server moet aan een andere Azure VM gekoppeld worden om zo te proberen de server te herstellen. De mogelijkheden om remote desktop toegang te herstellen zijn te beperkt en de POC liet zien dat een server vaak niet meer werkend te krijgen is zonder deze lokaal te herstellen en opnieuw te uploaden. Uploaden naar Azure De uploadsnelheid van nieuwe VM s en data naar de Azure omgeving is onderhevig aan limieten. Voor een productiemigratie is deze uploadsnelheid waarschijnlijk te laag om bijvoorbeeld tijdens een weekend de migratie af te ronden. Hiervoor heeft Microsoft een Azure Storage Service bedacht. Met de Azure Storage Service is het mogelijk data op een (bitlocker encrypted-) eigen harde schijf te plaatsen en deze schijf met een koerier op te sturen naar Microsoft die dan de data importeert. We hebben deze service gebruikt om een aantal TB s aan virtuele machinebestanden en overige data binnen Azure te krijgen. De service werkt snel en betrouwbaar. De behandel- en uploadstatus zijn binnen de Azure portal te volgen en het duurt ongeveer een dag vanaf het moment van opsturen totdat de data is geïmporteerd. Natuurlijk hangt dit af van de hoeveelheid data. Premium Storage en Oracle Een van de applicatieservers in deze POC maakt gebruik van een Oracle-database. Net als bij SQL server is premium storage gebruikt om de vereiste diskperformance te garanderen. Er zijn standaard, geteste templates beschikbaar met een pre-geïnstalleerde Oracle-database, maar in de POC heeft de applicatieleverancier zelf zijn eigen, aangepaste Oracle-installatie uitgevoerd op de applicatieserver. In de Azuretemplates directory zijn veel andere producten aanwezig geoptimaliseerd voor Azure-gebruik. Inschakelen van de drive cache binnen de Azure VM kan de verwerking versnellen, maar als de onderliggende virtualisatieserver uitvalt midden in een databaseschrijfactie, kan de data in de cache verloren gaan en kan er corruptie optreden. Binnen Azure kan gekozen worden voor geen cache (veiligste), read caching (goed voor bijvoorbeeld databasevolumes waarop veel leesacties uitgevoerd worden) en write caching (alleen beperkt te gebruiken, bijvoorbeeld voor de logbestanden van een database die terug te rollen transacties gebruikt). Toegang tot de console van een virtuele server is niet mogelijk 15

16 Azure Marketplace

Linux applicatieservers Voor twee applicatieservers in de POC is het Linux operating system gebruikt. Voor beide servers was het maken van kale, nieuwe Linux servers binnen Azure en dus het opnieuw installeren van de applicaties door de leverancier niet een optie, door de hoge kosten vanuit de applicatieleverancier en andere beperkingen. Converteren of nieuw installeren Beide servers maken gebruik van het RedHat Enterprise Linux (RHEL) operating system. Een van de servers maakt gebruik van een erg verouderde RedHat versie 4 en die is binnen Azure niet werkend te krijgen. Voor een dergelijke VM moet gekozen worden om de VM alsnog on premise te laten draaien of in een andere IaaS omgeving. De tweede server maakt gebruik van een RedHat 6 versie en, hoewel de server (nog) niet op de officiële supportlijst staat, is het gelukt om deze server te converteren vanuit VMWare naar een Azure VM en binnen Azure draaiend te krijgen. Overweeg het gebruik van de Microsoft Azure Marketplace Zoals eerder beschreven is het ontbreken van interactie met de console van de VM een probleem. Gelukkig is binnen de nieuwe Azure Portal boot diagnostics aan te zetten, waardoor alle schermoutput van de VM tijdens het bootproces wordt getoond. Met deze informatie, en door de root schijf van de VM tijdelijk te koppelen aan een andere Azure Linux server, is het gelukt de VM configuratiebestanden aan te passen en de VM opgestart te krijgen binnen Azure. Deze conversie is geen gemakkelijk proces. Het afnemen van standaard VM templates binnen de Azure Marketplace en dus het opnieuw (laten-) installeren van de applicatie erop, is zeker het overwegen waard. 17

18 Azure Backup

Back-up en recovery Omdat tijdens de POC veel geëxperimenteerd is met verschillende configuraties en opties, is een back-up van elke server zeker geen luxe. Hiervoor zijn twee functies gebruikt. Azure Capture Net als in andere virtualisatie-omgevingen kunnen met Azure snapshots worden gemaakt van VM s. In Azure heeft de functie Capture een belangrijk verschil met snapshots in een traditionele virtualisatie-omgeving. De Azuresnapshots zijn eigenlijk kopieën van de VM s en kunnen daardoor niet gemakkelijk gebruikt worden om de VM s terug te draaien. Er moet een nieuwe VM aangemaakt worden met de snapshot als image. Het is dus niet echt een snapshot maar meer een clone van de VM. Deze functionaliteit is wel handig om de stand van zaken van een VM direct na configuratie vast te leggen. Azure Backup Azure Backup is gebruikt om dagelijks een back-up te maken van virtuele servers en data. Een belangrijke punt is, dat Azure Backup nog niet beschikbaar is in de nieuwe Azure Portal en dus ook niet te gebruiken is met de nieuwe resource groepen. Voor oude stijl Azure VM s is Azure Backup dus de enige optie. Verder is het niet mogelijk VM s op premium storage vanuit Azure Backup te benaderen. Wel biedt Azure Backup een backup agent die geïnstalleerd kan worden op deze (en ook andere, bijvoorbeeld on premise) VM s, waardoor de applicaties en data alsnog door Azure geback-upt kunnen worden. Het is belangrijk de VM zelf (dus de onderliggende Windows-installatie en applicatie-installatie) na elke applicatie- of operating system wijziging veilig te stellen, bijvoorbeeld door opnieuw een capture uit te voeren, en deze mogelijk te kopiëren naar opslag in het uitwijkdatacenter. In de POC is gekozen om gebruik te maken van geographically redundant opslag van back-up data. Dit houdt in dat alle back-ups automatisch gerepliceerd worden naar het DR-datacenter en dus altijd beschikbaar blijven voor eventuele restores, ook in het geval van verlies van de gehele primaire datacenter. Azure Capture is handig om de stand van zaken na configuratie vast te leggen 19

20

Azure Automation en PowerShell Azure virtuele machines worden per hour gefactureerd en voor een POC is het van belang kosten te beperken door VM s uit te zetten als zij niet worden gebruikt. Binnen de Azure Portal ontbreekt een handige functie om het automatisch opstarten en uitzetten van VM s te configureren. Azure heeft wel een dienst onder de naam automation beschikbaar. Door tijdens de POC Azure PowerShell scripts op basis van een schema te laten draaien, werden alle VM s automatisch dagelijks opgestart en om 18:00 weer uitgezet. Deze runbooks vragen wel basis programmeerkennis, bijvoorbeeld kennis van PowerShell. Investeer in Powershellkennis Azure PowerShell-kennis is nodig voor de configuratie van veel zaken die (nog) niet mogelijk zijn binnen de Azure Portal. Het is op dit moment 4 niet mogelijk een compleet werkende backoffice-omgeving binnen Azure te maken zonder gebruik van PowerShell. Bijvoorbeeld, als er meer dan een VPN wordt gebruikt, is het niet mogelijk deze rechtstreeks te configureren binnen Azure. PowerShell is nodig om deze configuratie te downloaden, lokaal aan te passen en weer te uploaden. Het is dus zeker de investering waard om PowerShellkennis op te doen. 4 Januari 2016 21

22

Office 365 diensten Het is altijd verstandig eerst te kijken welke functionaliteiten af te nemen zijn als een dienst, als SaaS bijvoorbeeld, voordat besloten wordt VM s af te nemen in de cloud en de applicaties zelf te installeren. SaaS verplaatst een deel van de beheerlast naar de aanbieder en diensten als back-up en recovery, disaster recovery en beveiliging zijn meestal inclusief. Office 365 E1 en E3 Voor de POC omgeving zijn de Office 365 E1 en E3 abonnementen onderzocht. Beiden bieden dezelfde hostingmogelijkheden en limieten met het grootste verschil dat E3 ook toegang geeft tot lokale installatie van MS Office applicaties op maximaal 5 verschillende toestellen (en een hiervan mag ook de RDS-server zijn). Office 365 E1 bevat geen lokale MS Office applicatielicenties, alleen Office Online is beschikbaar om MS Office documenten binnen een web browser te bekijken en eventueel te bewerken. Voor het opslaan van gedeelde afdeling - data is gekozen voor SharePoint, en voor het opslaan van specifieke gebruikersdata ( Mijn Documenten ) is OneDrive voor Bedrijven gebruikt. Beiden zijn standaard onderdelen van alle Office 365 E-abonnementen. Verder zijn Exchange Online en Skype voor Bedrijven gebruikt, beiden ook standard onderdelen van alle E-abonnementen. optimaal gebruik maken van de functionaliteit, vraagt om een andere structuur. Gebruik van Office 365 alleen binnen een webbrowser (Office Online), dus zonder installatie van de volwaardige MS Office desktopapplicaties, is alleen voor heel basisgebruik van Officefuncties aan te bevelen. Als bijvoorbeeld complete Excel-documenten met VBA en andere geavanceerde features worden gebruikt, zijn er veel problemen. Ook hier is het belangrijk gebruikers goed op te leiden en te begeleiden. Overigens wordt Office Online door een groot deel van de gebruikers als zeer positief ervaren met de kanttekening dat het wennen aan Share- Point en OneDrive opslag ook bij die gebruikers problemen geeft. Back-up Verder is het belangrijk te kijken naar de standaard retentie op data binnen Office 365, en of deze voldoet aan de eigen business requirements. Als de standaard retentie en opslag niet voldoet, is het gebruik van een 3rd party back-upoplossing een optie. Een handige functie van de benoemde User Profile Disks is, dat deze zorgen dat alle gebruikersdata ook buiten de Office 365 omgeving, dus lokaal binnen de eigen omgeving, worden opgeslagen. Het voordeel is dat hierdoor een eigen back-upomgeving ontstaat. Het wennen aan SharePoint en OneDrive is een probleem Gebruikerservaring Bij de gebruikersbeoordeling is gebleken dat de stap van traditionele gedeelde mappen, netwerkschijven en de normale Mijn Documenten -map naar SharePoint en OneDrive voor de primaire opslag, het meest verwarrende onderdeel van de omgeving is. Bij de migratie naar Office 365 is het erg belangrijk gebruikers goed op te leiden en te begeleiden in het gebruik van deze nieuwe werkwijze. Verder is SharePoint zo in te richten dat het veel lijkt op een reguliere netwerk file server, waardoor de transitie minder directe aanpassing van de werkwijze verlangt. Dit kan afdoende zijn, maar werken volgens de SharePoint filosofie, en daardoor Migratie Bij de migratie naar Office 365 is het belangrijk de uploadsnelheid van data naar bijvoorbeeld Exchange Online vooraf goed te bepalen. Tijdens de POC is deze veel trager gebleken dan verwacht. Voor een productieomgeving is het zinvol een co-existence scenario te creëren, waar de huidige on premise omgeving en nieuwe Office 365 omgeving geïntegreerd zijn. Zo kan er meer gefaseerd gemigreerd worden zonder onnodige downtijd en is de uploadsnelheid naar Office 365 ook niet meer een groot probleem. Naar verwachting helpt het gebruik van Microsoft ExpressRoute ook de doorvoersnelheid te verbeteren. 23

Availability set Server Virtual Machine Server Primary Virtual Machine Server Secondary Virtual Machine No SLA SLA 99.95 Azure Availability set 24

Azure SLA Het is mogelijk een 99,95% uptime-garantie te krijgen die financially backed is met boetebedragen bij een te lange downtime. De garantie wordt alleen gegeven als alle VM s van zogenaamde availability sets gebruikmaken, ofwel alle VM s zijn ten minste twee keer gemaakt. Microsoft garandeert dat of de een of de andere VM 99,95% van de tijd beschikbaar zal zijn, ofwel ze zorgen dat de VM s in een availability set nooit tegelijk een storing zullen krijgen. Enkelvoudig uitgevoerde VM s zijn normaal verkrijgbaar. Niet alle servers ondersteunen de redundante configuratie waardoor de garantie in de praktijk vaak niet te krijgen is. Dubbel uitgevoerde servers betekent dubbele VMkosten De Azure cloud beschikt over zoveel hardware en datacenters dat de kans op uitval voor een langere periode bijzonder klein is. Wel kunnen storingen optreden waardoor een VM tijdelijk uit de lucht kan gaan, en als deze VM dan enkelvoudig uitgevoerd is, is een gehele applicatie of dienst waarschijnlijk beïnvloed. Als Microsoft hardware-updates uit moet voeren kan het gebeuren dat servers tijdelijk uitgezet moeten worden. Dit onderhoud wordt vooraf aangekondigd, dus er is omheen te plannen. Dubbel uitgevoerde servers betekent natuurlijk ook dubbele VM-kosten. Voor sommige applicaties, bijvoorbeeld SQL server, kan het ook betekenen dat een duurdere licentievariant nodig is, bijvoorbeeld de veel duurdere Enterprise-editie. Per applicatie moet kritisch beoordeeld worden of de extra kosten van een dubbele configuratie geoorloofd zijn, en of de 99,95% uptime-garantie echt een kritische business requirement is. 25

26

Conclusie In de POC is bewezen dat het mogelijk is een volledige en complexe omgeving in de Microsoft Cloud operationeel te krijgen. Wel is het belangrijk zoveel mogelijk applicaties en servers te vernieuwen om voor maximale compatibiliteit met het Azure platform te zorgen. Het is van belang bewust te zijn dat vernieuwing in de Azure-omgeving erg hard gaat en er bijna dagelijks nieuwe opties en verbeteringen van bestaande diensten komen. Meestal is het advies iets terughoudend te zijn met de uitrol van de nieuwste versies van producten (en dus te kiezen voor bewezen en stabiel ), maar bij cloud computing is het tegendeel vaak waar. De nieuwste versie van een dienst of product is vaak een forse verbetering van de voorgaande versie en moet serieus worden overwogen. Zoveel mogelijk applicaties en servers vernieuwen Tegenwoordig wordt het vaak als vanzelfsprekend gezien dat alle operating system en bijvoorbeeld firewall merken goed samenwerken, maar met Azure is het erg belangrijk dat er vooraf goed gekeken worden of de eigen apparatuur en gebruikte operating systemen ondersteund zijn. De cloud vraagt een andere kijk op het ontwerp van een kantooromgeving en traditionele wijsheden en kennis helpen niet altijd. In het geval van Office 365 en MS Azure is documentatie zeker geen plaatsvervanger voor echte handson ervaring. Als men niet kiest om met een kundige partner de omgeving te ontwerpen, maar het zelf te doen, is het advies eerst een goeie Azure-opleiding te volgen. Experimenteer daarna met Azure, bijvoorbeeld met een POC-omgeving, voordat definitieve design-keuzes worden gemaakt. 27

Als innovatieve IT-organisatie met meer dan 20 jaar beheerexpertise bij meer dan 450 gerenommeerde klanten is SPS één van de belangrijkste spelers in de markt. SPS is de ontwikkelaar en leverancier van de Business en IT Service Management oplossing Gensys en aanbieder van de op Gensys gebaseerde RES-Q beheerdiensten en Cloudservices. Gensys Business en IT Service Management Software Gensys is de multi-tenant IT-beheersoftware voor proactief en voorspellend beheer. Met Gensys is de IT-infrastructuur continu beschikbaar, is volledig inzicht in en grip op de IT mogelijk, worden de IT-beheerprocessen efficiënt uitgevoerd en zijn de kosten voor het IT-beheer structureel lager. Een succesvolle en servicegerichte IT-organisatie, die aantoonbaar waarde toevoegt aan uw business, wordt gerealiseerd met behulp van Gensys. SPS Continuïteit in IT Buitenomweg 17 2811 BM Reeuwijk The Netherlands Telefoon +31(0)182 302 222 Fax +31(0)182 302 323 info@sps.nl www.sps.nl www.gensys.nl eux.sps.nl