Modern vállalati informatika © 2012 Microsoft Corporation. Minden jog fenntartva. A jelen dokumentum kizárólag tájékoztatásul szolgál. A MICROSOFT NEM VÁLLAL SEMMIFÉLE KIFEJEZETT VAGY KÖVETKEZMÉNYES GARANCIÁT A JELEN ÖSSZEFOGLALÓ TARTALMÁRA.
Modern platform a modern elvárásokhoz Óriási fordulópont előtt áll a Microsoft: a modern felhasználói és vállalati elvárásokat egyaránt, együttesen szem előtt tartva teljesen megújul a szoftverplatformunk, amihez kapcsolódóan mind a Microsoft, mind partnereink új szolgáltatásokat és informatikai eszközöket tesznek elérhetővé.
5
Áttekintés
6
Windows 8 a vállalatoknál
8
A hordozható munkakörnyezet
12
Folyamatos kapcsolatban
14
Virtuális munkakörnyezetek
18
Licencelés
A Windows 8 megjelenésével egy időben nagyot lépünk előre az ultrahordozható számítógépek, táblagépek, érintőképernyők, alkalmazások, játékok és kiegészítők terén, miközben továbbra is biztosítjuk a már meglévő hardverekkel és szoftverekel a kompatibilitást, valamint a Microsoft platform hatékony központi felügyeletének eszközeit az informatika számára.
– és a modern munkastílus A Microsoft azonban továbbra is a felhasználót helyezi a középpontba, nem pedig az egyes eszközöket, amikkel a munkáját végzi. Alapvető célunk, hogy egy felhasználó bármely számítógépére vagy mobil eszközére bejelentkezve megszokott környezetét, beállításait, dokumentumait és alkalmazásait kapja meg. A Windows 8 esetében erre már vállalati és otthoni környezetben egyaránt lehetőséget biztosítunk. Ahogy a felhasználók egyre több saját informatikai eszközzel rendelkeznek, egyre gyakrabban viszik azokat magukkal a vállalati környezetbe is, vagy szeretnének azokról akár otthonról is munkát végezni. Az is gyakran elődordul, hogy a vállalati eszközökről szeretnék személyes profiljukat, dokumentumaikat elérni a napi munkával párhuzamosan. Fontos feladat, hogy mindezt a vállalati informatika megfelelő központi szabályozás mellett legyen képes integrálni a mindennapi működésbe, anélkül, hogy teljes irányítás alá venné a felhasználó saját eszközét.
21 22 26 30 32 35 38
Áttekintés Virtualizáció Tárolás, fájlszerver és fürtözés Hálózat Felügyelet és automatizmus Azonosság- és hozzáféréskezelés Licencelés
Ezekre a kérdésekre a megújult Windows 8 és a Windows Server 2012, valamint rendszerfelügyeleti oldalon a Windows Intune és a System Center komponensek nyújtanak teljeskörű megoldást. Ezzel foglalkozik kiemelten kiadványunk első része, ahol egyaránt szó esik a munkakörnyezet hordozhatóságáról, a távmunka és távelérés új lehetőségeiről, valamint a virtuális munkakörnyezetek kialakításának eszközeiről.
– a vállalati informatika motorja Kiadványunk második fő témája a Windows Server 2012, ami a Windows vállalati felhasználásának az egyik legfontosabb építőköve. Technikai oldalról nézve mind a virtualizáció, az adattárolás, a hálózat, a felügyelet és a biztonság területein lényeges újdonságok érkeztek. A Hyper-V hatalmas fejlődésen ment keresztül, a jelenlegi változat funkcionalitásban és technikai lehetőségek terén szinte minden ponton megelőzte a vetélytársait. Mindeközben az új tárolási, hálózati és virtualizációval kapcsolatos képességeknek köszönhetően a kisebb IT költségvetéssel rendelkező vállalatok is könnyebben belevághatnak olyan megoldások megvalósításába, amiket korábban elképzelhetetlennek tartottak komolyabb hardverberuházások nélkül.
– a következő szervert már a felhőből bérlem
41 42 43 44 50
Áttekintés Nyilvános felhő A Windows Azure képességei A Windows Azure a vállalatoknál Árazás és licencelés
A harmadik kulcsterületünk a Windows Azure. A Microsoft szerverek százezreit üzemelteti saját adatközpontjaiban, és ezek elérhető kapacitását ügyfeleink és partnereink rendelkezésére bocsátjuk felhőszolgáltatásaink révén. A Windows Azure egyike ezen felhőszolgáltatásoknak, amin akár virtuális gépeket, akár saját fejlesztésű alkalmazásokat is lehet futtatni. Mindezt olyan módon, hogy az ehhez szükséges hardver összetevőket a Microsoft biztosítja és üzemelteti, ezzel lényegesen csökkentve egy új projekt kezdeti beruházási költségeit. A rugalmas előfizetési konstukcióknak köszönhetően a rendszer fenntartási költsége is a ténylegesen lekötött erőforrások függvényében módosulhat. A felhőben üzemeltetett virtuális gépeket és alkalmazásokat a vállalat saját adatközpontjával is össze lehet kötni, így természetes kiterjesztése lehet a meglévő rendszernek.
Érdemes újratervezni Érdemes tehát áttekinteni a legújabb Mircosoft megoldásokkal érkező lehetőségeket, és azok ismeretében újragondolni a már meglévő, vagy még tervezés alatt álló informatikai rendszereket. Akár a költségek csökkentése, akár a modern felhasználói igények minél hatékonyabb kiszolgálása a cél, a megújult Microsoft platform rengeteg ponton segíthet. Bízunk benne, hogy kiadványunkkal hozzá tudunk járulni az újdonságok megismeréséhez!
3
Az emberek munkastílusa jelentős változásokon ment keresztül az elmúlt évtizedben. A mai felhasználók a legújabb eszközöket és technológiákat szeretnék használni már a munkájuk során is, és készségszintjük jelentősen emelkedett. Az egyre hordozhatóbbá váló számítógépek, az okostelefonok és táblagépek térhódítása, valamint a közösségi élet robbanása miatt a felhasználók egyre nagyobb elvárásokat támasztanak már a munkahelyi informatikával szemben is; elvárják egyéni és egyre rugalmasabb munkastílusuk figyelembe vételét. Sokuk már nem is felétlenül elégedett egyetlen (vállalati) PC használatával. Zsebükben már ott lapulnak ez egyre okosabbá váló okostelefonok, szívesen hagyják kétkilós notebookjukat asztalukon, és kapnak fel egy táblagépet, hogy ügyeiket intézzék. Igaz, hogy jelenleg gyakorta igen korlátozott a vállalati alkalmazások elérhetősége és támogatottsága, és különösen a teljes vállalati desktop elérhetősége mobil eszközökön, de már a céges e-mail használhatósága, internetelérés és alapvető appok megléte egyre több felhasználónak elég érv a gazdag vállalati desktop időnkénti nélkülözésére, és a több eszköz párhuzamos használata okozta nehézségek felvállalására.
Vállalati környezetben a munkavégzés legtöbbször elképzelhetetlen alkalmazások használata nélkül, melyek ma még leggyakrabban Windows XP és Windows 7 rendszereken futnak. A teljes desktop megjelenítése nem Windows-t futtató táblagépeken bár desktopvirtualizációs technológiákkal (VDI) megoldható, használhatóságának korlátai (pl. nagy sávszélesség folyamatosságának hiánya) miatt a legtöbb felhasználó számára nem elfogadható kompromisszum; az IT számára pedig újabb kihívást jelent az új eszközök biztonságáról, üzemeltethetőségéről gondoskodni.
Modern munkastílus
Az új Windows alapvető jelentősége abban van, hogy egy operációs rendszerben ad választ az ultrahordozhatóságra, az érintéses használatra, és egyúttal benne van a megszokott Windows desktop, amin az eddig használt alkalmazások továbbra is használhatók. Nincs még egy operációs rendszer család, amely az asztali gépen, notebookon, táblagépen és mobiltelefonon ugyanazt a rendszert nyújtaná felhasználóinak, fejlesztőinek és üzemeltetőinek.
Valódi üzleti táblagép A Windows 8-as táblagépekkel a felhasználók a kényelem és hordozhatóság mellett a megszokott Windows-környezet előnyeit is megkapják. A táblagép lehet önálló, vagy billentyűzettel összekapcsolt hibrid eszköz, támogatja az érintéses, billentyűzetes, egeres és tollas beviteli módokat is, a már megszokott eszközökhöz (nyomtató, hálózat, monitorok, dokkolók és külső eszközök) remekül kapcsolódnak különféle portokon keresztül. Nagyszerű társ azoknak, akik nem csak az asztal mögött ülve dolgoznak, és nem csak fogyasztani kívánják, hanem szerkeszteni és létrehozni is az újabb tartalmakat. De nem csak táblagépen mutatja meg a Windows 8 az erejét. Érintés nélküli számítógépeken is kiválóan kezelhető egérrel és billentyűzettel, az új appok ugyanúgy használhatók, és a felügyelhetőségben sincs eltérés. Ráadásul a Windows 7 gépigényével megelégszik, és a javított memória és folyamatkezelésnek hála gyorsabbnak tűnik a legtöbb felhasználó számára; így a meglévő Windows 7-es géppark is jó kiindulás az új verzió bevezetéséhez.
5
Windows 8 a vállalatoknál A Windows 8-at a chipsettől egészen a felhasználói felületig újraterveztük. Alapos elemzésnek vetettük alá, hogyan és mire használják a felhasználók a Windows operációs rendszert, és ennek eredményei alapján terveztük azt át még hasznosabbra és könnyebben kezelhetőre. Az egyik legizgalmasabb újdonság a Windows 8 kapcsán az új hardverek megjelenése: notebookok, táblagépek, monitorba épített számítógépek, melyek lehetnek érintőképernyősek és/vagy egérrel, billentyűzettel kezelhetőek; és minden felhasználó a saját igényeinek megfelelő eszközt választhatja. A Windows 8 eszközök vékonyabbak, könnyebbek, gyorsabban indulnak el és kapcsolódnak wifihez elődeihez képest, így téve élvezetesebbé és gyorsabbá az elvégzendő feladatokat. A Windows 8-as hardvereket úgy tervezték meg, hogy minél tovább bírja az akkumulátor és erősebbek legyenek hálózati kapcsolatai. És mivel Windows rendszert futtatnak, továbbra is ugyanolyan kompatibilisek a szoftverekkel és a hardverekkel, mint elődei, valamint a meglévő Windows 7 infrastruktúrákba és felügyeleti környezetekbe is remekül illeszkednek.
A Windows 8 újabb funkciókkal segíti az intézményi környezettől távol lévők munkáját. A nagy sávszélességű mobilhálózatokat egyként kezeli a vezeték nélküli hálózatokkal, és folyamatosan képes hálózati kapcsolatot tartani azáltal, hogy az ismert irodai és otthoni környezetben wifi-kapcsolatot használ, azon kívül pedig képes automatikusan átváltani mobil kapcsolatra, a céghez visszaérve pedig ismét visszavált wifire, így optimalizálva az elérhetőség és költségek között. A Windows 7-ben már megjelent DirectAccess használatával folyamatosan az intézményi hálózatban tartható a számítógép, így egyszerre tudunk a felhasználó számára folyamatos elérhetőséget biztosítani, miközben az informatika állandóan felügyelheti ezeket az eszközöket. A Windows To Go segítségével akár egy pendrive-ra is telepíthetjük a vállalati Windows 8 desktopot, amely képes minden (a Windows 8 követelményeinek megfelelő) PC-n a telepített operációs rendszer helyett Windows 8-at futtatni. Sokféleképpen használható. Lehet másodlagos munkakörnyezet, amivel már nemcsak az irodai gépén dolgozhat a felhasználó, hanem amelyiken csak szeretne. Külső szerződő partnereknek biztosíthatunk – a saját gépén futó – de a mi felügyeletünk alatt álló operációs rendszert, akár VDI környezet kiépítése nélkül is.
De nem csak új hardvereken fut jól az új Windows. Gépigénye megegyezik a Windows 7 igényeivel, azaz az elmúlt 3-5 évben vásárolt számítógépek alkalmasak a futtatására. Az egyetlen nyitott kérdés, ami sokak fejében megfordul: használható-e a Windows 8 érintőképernyő nélkül? A válasz: igen. Egérrel és billentyűzettel is remekül használható az új kezdőképernyő és a modern alkalmazások, érdemes kipróbálni. A hagyományos munkaasztalnál pedig kétely sem merül fel e kérdés kapcsán. A Kezdőképernyő élő csempéi friss információkat jeleníthetnek meg a letűzött (akár vállalati) alkalmazásokból, így értesítve a felhasználót egy újdonságról, hírről vagy éppen jóváhagyandó feladatról. És amint a felhasználó rákattint a csempére, az alkalmazás egyből arra a képernyőre viszi el, ahol az élő csempén megjelenített újdonság megtalálható. Ezek az új generációs modern alkalmazások teljes képernyőn adnak egészen újszerű felhasználói élményt. És nemcsak a játék appok lehetnek újak és modernek, hanem vállalati alkalmazásokat is létre lehet hozni például C#, CSS3, html5, javascript használatával, melyek akár saját rendszerekhez kapcsolódva adják meg a felhasználók számára a korszerű felületet és kezelési módot. A kifejlesztett vállalati, modern appokat célszerű nem a Windows Áruházon keresztül eljuttatni a felhasználókhoz (amely vállalati környezetben le is tiltható), hanem inkább menedzselt szoftverterítéssel (Enterprise Sideloading), illetve önkiszolgáló módon engedni a felhasználót telepíteni a belső hálózatról. A Windows 8 modern alkalmazásai izolált konténerekben futnak, sem az operációs rendszerrel, sem pedig egymással nem akadhatnak össze. Az operációs rendszer érintetlensége megszűnteti azt a régről jövő élményt, hogy a sok telepítés és eltávolítás után egy idő után a rendszer mégis csak lassul, „elöregszik”. Ha nem használják őket, automatikusan alvó állapotba kerülnek, nem fogyasztják a CPU-t, nem lassítják a gépet. Megjelenik a Windows az eddig megszokott x86 és x64 architektúrák mellett az ARM processzort használó eszközökön is, így alacsony energiafelvétele révén hosszabb üzemidejű, vékonyabb és könnyebb táblagépek és notebookok lesznek kaphatóak. Az ARM processzort tartalmazó eszközökön a Windows RT operációs rendszer lesz előtelepítve, mely az új kezdőképernyőt, a modern alkalmazásokat, a Windows Áruházat, és az érintésre optimalizált Microsoft Office Word, Excel, PowerPoint és OneNote szoftvereket egyaránt tartalmazza. És mivel ez is Windows operációs rendszer, ezek az eszközök is több felhasználói profilt képesek kezelni, jelentősen megkönnyítve mind a végfelhasználók, mind pedig az üzemeltetők dolgát. Mivel a Windows RT-t futtató eszközök domainba nem léptethetők, felügyeletükről a Windows Intune szolgáltatással lehet távolról gondoskodni.
A Windows 8 Pro kiadásban is a rendszer része a BitLocker technológia, mellyel a merevlemezeken és USB-tárolókon lévő információk számára nyújt nagyvállalati színvonalú védelmet minden felhasználó számára. A felhasználók egyre inkább igénylik a minél hosszabb rendelkezésre állást egy feltöltéssel, ezért a Windows mélyén több ponton is optimalizáltuk ennek a területnek a működését. A modern alkalmazások kizárólag akkor használnak processzoridőt, amikor a felhasználó ténylegesen használja azokat, és amint a háttérbe kerülnek, a Windows elveszi tőlük a processzoridőt, majd hosszabb inaktivitást követően – biztonságos leállítással – a memóriából is eltávolítja. Így a valóban használt alkalmazások számára több rendszerteljesítmény marad. Valamint csökkentettük a háttérben futó folyamatok számát; melyek együttesen eredményezik a rendszer gyorsulását és a kevesebb energiahasználatot. A megújult feladatkezelő elkülönítve mutatja az alkalmazások és a háttérfolyamatok teljesítményigényeit (processzor, memória, disk és hálózat), és akár proces�szormagonként is követhetjük a terhelést és a további erőforrások felhasználását. A Windows indulásakor betöltődő alkalmazásokat és a rendszerindulás gyorsaságára gyakorolt hatását is könnyen áttekinthetjük, és egyetlen kattintással tudjuk engedélyezni vagy tiltani az egyes alkalmazások automatikus indulását. A Windows 8 mindent tud, amit a Windows 7 is tudott, és erre a stabil alapra építve fejlesztettük tovább az új kor kihívásainak megfelelően. Gyorsabban betöltődik, tovább bírja a gép akkumulátora, gyorsabban kapcsolódik wifihez, biztonságosabb lett és több monitort is jobban kezel az elődeinél. Az új eszközök pedig minden felhasználó számára megadják a munkavégzéséhez számára legkedvezőbb géptípust.
6
7
A hordozható munkakörnyezet A Microsoft platform egyik legfontosabb előnye a felhasználók munkakörnyezetének, beállításainak, alkalmazásainak, jogosultságainak és dokumentumainak központosított kezelése. Egy megfelelően megtervezett és beállított szerver infrastruktúra megléte esetén bárhonnan és bármilyen eszközre is jelentkezik be a felhasználó, mindenhonnan a megszokott környezetében, a saját eszközeivel és dokumentumaival dolgozhat. A Windows 8, a Windows Server 2012, a Windows Intune és a System Center komponensek együttes használatával arra is lehetőség adódik, hogy a felhasználók saját eszközeiket, táblagépeiket, telefonjaikat munkára foghassák, és arról érjenek el vállalati adatokat, alkalmazásokat – mindezt az IT felügyelete és biztonsági előírásai mellett.
Vándorló profilok A felhasználói profil, azaz a felhasználó munkakörnyezétenek teljes tükre (a dokumentumok, az Asztal elemei és „kinézete”, illetve az alkalmazások beállításai) egy informatikai infrastruktúrában helyben, illetve hálózatban is tárolható. Egy Windows tartományi környezetben viszont érdemes kihasználni a centralizáció adta kézenfekvő lehetőségeket, azaz többek között a profilok központi elhelyezését. Ebben az esetben a felhasználó környezete függetlenné válik a számítógépétől, így ezután bármelyik, tartományi számítógépre (akár fizikai eszközre, akár virtuális desktopra) interaktívan bejelentkezve a saját, jól megszokott környezetében dolgozhat tovább. Ez a megoldás arra is lehetőséget biztosít, hogy a felhasználó különböző Windows verziók között tudjon egyszerűen váltani – ha a felhasználó beállításai és a dokumentumai a szerveren találhatóak, valamint az alkalmazás-terítési stratégia is megfelelően ki van dolgozva, a Windows 8 migráció a felhasználók szemszögéből egyszerűen az új számítógépre történő bejelentkezést is jelentheti. Az egységesség és a folyamatosság biztosításának okán kötelező (mandatory) vagy szuper-kötelező (super mandatory) profiltípusokat is definiálhatnak. Mindkét esetben egy előre elkészített, a felhasználó szemszögéből megváltoztathatatlan környezet biztosítása a cél, azonban a második esetben ezen profil kizárólagos használatát szeretnénk elérni. Ilyenkor már a belépés sem lehetséges, ha bármilyen okból nem elérhető a profil.
Mappa átirányítás A felhasználói profilhoz tartozó mappákat (Dokumentumok, Képek, Videók, Linkek, Letöltések, Keresések, Kedvencek) a csoportházirend segítségével a lokálisan tárolt profilból átirányíthatjuk egy hálózati megosztott mappába. A központilag tárolt dokumentumok megkönnyítik a felhasználók adatainak biztonsági mentését, és lehetővé teszik, hogy a felhasználók különböző gépeken bejelentkezve is elérjék ezen mappák tartalmát. Emellett a felhasználók számára transzparenssé teszik a dokumentum kezelési műveleteket, hiszen például helyi gép merevlemezére mentett dokumentumok a folyamatban közreműködő fájszerverre kerülnek az átirányítás során – anélkül, hogy a felhasználó ezt érzékelné. A felhasználók számítógépén a Dokumentumok, a Képek és a többi – a profil részeként elérhető – mappa gyorsítótárba helyezett példánya található, így ezek a fájlok akkor is elérhetőek, ha a gép éppen nincs kapcsolatban a hálózattal. Minden esetben, amikor a felhasználó be-, vagy kijelentkezik, a rendszer szinkronizálja ezen mappák a klienseken lévő példányát a kiszolgálón lévő példánnyal. A Windows 8 egyik újítása ezen a területen az, hogy a korábbi verziókkal ellentétben mindig a helyben található állományokkal dolgozik, miközben a háttérben folyamatosan szinkronizál, nem csak be- és kijelentkezéskor. Ennek eredménye a következetesen jó válaszidő és a lényegesen gyorsabb bejelentkezés.
8
Kapcsolat nélküli fájlok Ha a hálózat nem érhető el számunkra, ellenben mégis hozzá kell férnünk egy hálózati mappában tárolt fontos fájlhoz, akkor azonnal megértjük, hogy miért fontos a kapcsolat nélküli fájlok megoldás. Ezek használatával ugyanis akkor is elérhetővé válik a megosztott mappák tartalma, ha a hálózati fájlszerver éppen nem elérhető – akár szerverhibáról, akár távoli, vagy a mobil használatról van szó. A kapcsolat nélküli fájlok konfigurálása viszonylag egyszerű, mindössze a felhasználónak ki kell jelölnie azokat a mappákat vagy fájlokat, amiket szeretne kapcsolat nélkül is elérni. Ezt követi az a folyamat, amely során automatikusan készül a számítógépen egy másolat a hálózati fájlokról. A Windows operációs rendszer ettől a ponttól kezdve a háttérben folyamatosan szinkronizálja ezeket a fájlokat, és akkor is képes megnyitni azokat, amikor a hálózaton található verziók éppen nem elérhetők. További előnye ennek a szolgáltatásnak, hogy védelmet nyújt a hálózati hibák okozta károktól, ugyanis nem számít, ha megszakad a hálózati kapcsolat, vagy elérhetetlenné válik a használni kívánt hálózati mappa. Ha a fentiek valamelyike előfordul, a Windows automatikusan a számítógépen tárolt offline példányokat kezdi el használni a hálózati mappában található fájlok helyett, így a felhasználó megszakítás nélkül folytathatja a munkát.
Elsődleges számítógépek kijelölése Az előző három képesség összefűzésére és közös alkalmazására már a korábbi operációs rendszerekben is volt lehetőség, a Windows 8 és a Windows Server 2012 esetén viszont mindezen képességeket egy újfajta módon is összekapcsolhatjuk, azaz pontosabban a különböző végfelhasználói eszközökhöz történő hozzáférés miatt csoportosíthatjuk. A csoportházirend és az Active Directory Administration Center segítségével beállíthatunk egy vagy több elsődleges számítógépet (Primary Computer) a felhasználó számára, és kiválaszthatjuk, hogy a felhasználó többi eszközén használhatjuk-e a vándorló profilt és a mappa átirányítást, vagy sem. E megoldás a vándorló profil és a mappa átirányítás automatikus működésének szabályozására jött létre, azaz például megszabhatjuk, hogy a vándorló profilunk az asztali gépünkre és a laptopunkra letöltődjön, de a tartományba léptetett táblagépünkre ne, és semmilyen más, például közösen használt tartományi gépre se kerüljön fel.
Windows To Go A Windows To Go segítségével egy Windows 8 Enterprise operációs rendszert tudunk USB meghajtókról (például merevlemez vagy pendrive) futtatni. Ezzel a módszerrel tökéletesen hordozhatóvá tehetjük a munkakörnyezetünket, mivel egy tetszőleges gépbe behelyezve a preparált USB eszközünket máris saját operációs rendszerünket használhatjuk. Segítségével azonnal be tudunk jelentkezni a vállalatnál elérhető tartalék gépekre, de akár más felhasználó számítógépére is, függetlenül attól, hogy egyébként ezek a gépek milyen operációs rendszerrel lettek telepítve. Mindez úgy működik, hogy az USB-ről indított számítógépre semmilyen adat nem kerül tárolásra (alapbeállítás szerint nem is látja az operációs rendszer a számítógép beépített lemezeit), ezáltal a biztonsági kockázatokat is minimalizálni tudjuk (például nem kerülnek rá a profilinformációink vagy a dokumentumaink sem a használt számítógépre). A Windows To Go példányra telepíthetőek alkalmazások is, frissíthető a Windows Update-tel és összességében alig bír néhány korláttal a klasszikus merevlemezre telepített változatokhoz képest. Mivel Enterprise kiadás, ezért a maximális vállalati funkcionalitással működik (DirectAccess, BitLocker, BranchCache, stb.), beléptethető tartományba, és minden központi felügyeleti alkalmazás (pl. System Center Configuration Manager) ugyanúgy kezeli, mint bármely más Windows operációs rendszert. Valójában a Windows To Go önmagában nem egy speciális Windows 8 telepítési változat, hanem egyszerűen a Microsoft legújabb kliens operációs rendszere már alapértelmezés szerint is képes futni az eltávolítható, USB-s meghajtókról. Ellenben a telepítés módja mégis különleges, hiszen nem a klasszikus telepítő futtatásával kell elkészítenünk a hordozó USB-s eszközt, hanem egy Windows 8 – kizárólag az Enterprise – kiadásba épített, a Vezérlőpultban elhelyezett varázslót kell ehhez használnunk.
9
App-V
Alkalmazás piacterek támogatása
A Microsoft Application Virtualization (App-V) lehetővé teszi, hogy az alkalmazásokat tökéletesen elválasszuk az operációs rendszertől, és gyakorlatilag szükségtelenné tegyük a hagyományos alkalmazástelepítést. Az alkalmazásokat virtuális csomagok képében juttatjuk el a felhasználó számítógépére akár a már megszokott alkalmazás-terítési eljárásokkal, akár az App-V által biztosított streaming infrastruktúra segítségével.
Egy fokkal összetettebb az a modell, amikor az adathozzáférés mellett egyedi, a vállalat által használt alkalmazások terítését is vállalja a vállalati informatika. Ezt a feladatot szintén a Windows Intune vagy a System Center Configuration Manager segítségével lehet megoldani. Ezen eszközök legfrissebb verziói már nem csak a hagyományos desktop alkalmazások terítését képes elvégezni, de a vállalati önkiszolgáló webportál segítségével belső vállalati alkalmazás piacteret hozhatunk létre, ahonnan Windows 8 vagy WinRT (továbbá iOS és Android) alkalmazások kipublikálását és terítését végezhetjük el.
A technológia használatával az alkalmazások bármely számítógépre vagy virtuális környezetre automatikusan követhetik a felhasználókat, és akár arra is van lehetőség, hogy maga az alkalmazás automatikusan az első használat alkalmával települjön fel a felhasználó gépére. Az App-V legfontosabb előnyei a következőek: ● ● ● ● ●
Az alkalmazások frissítése a szerveren található csomag frissítésével, és annak a desktopokra történő eljuttatásával történhet meg, nincs szükség külön telepítésre és frissítésre a desktopokon. Az alkalmazások egymástól teljesen izoláltan futnak, így akár több Office vagy Java verzió együttes, akár egyszerre történő használatára is van mód.Ez a lehetőség nagyban csökkenti az alkalmazás-kompatibilitási tesztekre fordítandó idejét is, hiszen az alkalmazások nem tudnak egymással „összeakadni”. A címtárszolgáltatás vagy a System Center Configuration Manager segítségével központilag kezelhetjük az alkalmazások felhasználói fiókokhoz rendelését és eltávolítását, valamint azt, hogy ki melyik verzió(k) használatára jogosult. A megoldás integrálható az RDS szerverekkel, ekkor egy speciális App-V verzióval képesek leszünk a terminálszerveren keresztül kiajánlani az alkalmazásokat, akár a WebAccess, akár a VDI segítségével. Ennek köszönhetően akár korábbi operációs rendszert igénylőalkalmazásokat is ki tudunk ajánlani a felhasználók számára. Az alkalmazások kiajánlása vagy frissítése működhet HTTPS-en keresztül is, azaz az App-V alkalmazások biztonságosan és kényelmesen használhatóak a védett hálózatunkon kívülről is.
Az App-V a Microsoft Desktop Optimization Pack részeként érhető el.
UE-V A User Experience Virtualizaton (UE-V) egy teljesen új megoldás, ami a felhasználó által használt alkalmazások állapotát, beállításait „figyeli” és ezek változásait menti, majd szinkronizálja egy másik – de ugyanazon felhasználó által használt - számítógépre. Adott esetben tehát egy Acrobat Reader vagy egy WinZip konfigurációs beállítás így elérhetővé válik az első – az asztali gépünkön történő – beállítás után a laptop számítógépünkön, vagy éppen egy, a VDI segítségével használt virtuális gépünkön is - teljesen automatikusan.
Vállalati alkalmazások elérése táblagépekről Az új típusú alkalmazások mellett szükségünk lehet hagyományos x86-os desktop alkalmazások elérésére is – a felhasználók által birtokolt – táblagépeken. A Windows 8 többféle módon lehet a segítségünkre: 1.
RDS vagy VDI infrastruktúra segítségével publikálhatjuk az alkalmazásainkat WinRT alapú táblagépek felé. Mivel a WinRT rendszerek jól kezelik az egeret és a billentyűzetet, és beépített RDP8 protokollal rendelkeznek, ezért kényelmesen használható felhasználói élményt képesek biztosítani.
Az alkalmazások beállításainak hordozhatóságához az UE-V-hez egy kliens szoftverre van szükség. Ez a szoftver folyamatosan figyeli, hogy mi történik a gépünkön azokkal az alkalmazásokkal, amelyekhez egy „működési” sablon van mellékelve. Ezt a sablont egy, az App-V Sequencer-hez hasonló szoftverrel kell elkészítenie az üzemeltetőnek (vagy letöltenie egy előre gyártottat). A sablon gyakorlatilag a konfigurációs beállítások manuális végigpróbálását monitorozza, azaz ennek a folyamatnak a hozadéka. A beállítások tárolására egy hagyományos hálózati megosztást használhatunk.
2. A Windows 8 (x86, x64) gépekre natív módon, vagy szintén RDS/VDI megoldással biztosíthatjuk a belső vállalati alkalmazások elérését. E környezetben használható a korábban már megismert App-V és UE-V technológia, a belső infrastruktúra elérését pedig könnyítheti a Direct Access alkalmazása.
UE-V integrálható a Microsoft desktop virtualizációs megoldásaival, együttműködik a csoportházirenddel, illetve a terjesztést illetően az MDT-vel vagy a System Center Configuration Managerrel, és a külső felügyeleti megoldásokkal is. Az UE-V is a Microsoft Desktop Optimization Pack csomag részeként érhető el.
Teljes vállalati desktop saját eszközökre
Saját eszközök használata a vállalatnál A modern informatikai üzemeltetési modellek lassan, de biztosan magukba foglalják azokat a helyzeteket, amikor a vállalati vagy intézményi környezetben nem csak a szervezet számítógépei, de a felhasználó saját eszközei is használhatóak. Nem mindig, és nem minden munkakörben hasznos vagy járható ez a modell, de ahol igen, ott pénzügyi megtakarítást, és a biztonság megtartása mellett inspiráló, agilis környezetet vár az alkalmazó vállalat. Az eddig ismertetett technológiai eszközök mind-mind hozzájárulhatnak egy ilyen üzemeltetési modell felépítésében és támogatásában. A saját eszközök használatának legegyszerűbb változata, amikor bizonyos vállalati szolgáltatásokat a felhasználók saját mobil (többnyire okostelefon) eszközén is elérhetővé teszünk. A rendszer kiépítésével két fontos rendszerfelügyeleti feladatról kell gondoskodnunk: 1. biztosítanunk kell, hogy a vállalati adataink biztonságban vannak a felhasználók eszközein. 2. A hozzáféréseket és az eszközöket nyilván kell tartanunk auditálási és licenc-elszámolási kötelezettségek miatt. Mindkét feladatot a Microsoft felhő alapú Windows Intune, vagy a System Center Configuration Manager felügyeleti szoftverével végezhetjük el. Ezek a szoftverek a Windows Phone 7 és Phone 8 mellett WinRT, iOS és Android eszközök eszközfelügyeletét (leltározás, házirendek érvényesítése, stb.) is képesek elvégezni.
10
Jegyezzük meg, hogy Android eszközöknél a házirendek érvényesítéséhez továbbra is szükségünk lesz Exchange Activesync kapcsolatra. WinRT és iOS rendszereknél ez azonban már nem szükséges. A megoldás nagy előnye, hogy több platform számára egységesen, egy pontból végezhetjük a belső alkalmazások publikálását, függetlenítve a vállalati informatikát a nyilvános piacterektől.
Végezetül a „hozd a géped” modellek legkifinomultabb változata, amikor a felhasználók a saját desktop vagy notebookjukat hozzák be munkaeszközként, vagy fordítva, a vállalati informatikai szervezet natív, vállalati lemezképet biztosít az otthon használt eszköz számára. Mindkét helyzetet a Windows To Go technológia alkalmazásával lehet megvalósítani. Amikor a felhasználó a saját gépét hozza be a munkahelyre, a Windows To Go segítségével anélkül lehet natív, helyi hardver erőforrásokat használó vállalati környeztet biztosítani, hogy az bármilyen módon érintené a felhasználó otthoni, saját rendszerét, mivel a Windows To Go technikailag is elválasztja a két rendszert. A Windows To Go által biztosított viszonylag kis tárterület-kapacitás sem jelenthet problémát, ha alkalmazzuk a korábban már ismertetett technológiákat, mint például az alkalmazás-virtualizációt vagy a mappa-átirányítást. Ha a Windows To Go USB eszközt a vállalaton kívül, például a felhasználó otthoni gépén futtatjuk, érdemes BitLocker titkosítást is alkalmazni rajta, hogy illetéktelen ne férhessen hozzá a vállalati lemezkép belső állományaihoz. Az otthon elindított Windows To Go egy szinte teljes értékű desktop operációs rendszer: tartománytagsággal bírhat, DirectAccess segítségével becsatlakozhat a belső, vállalati rendszerekhez, valamint felügyelhetjük a Windows Server beépített eszközeivel (Csoportházirend, Applocker stb.) és a nagyvállalati felügyeleti eszközökkel is.
11
Folyamatos kapcsolatban Biztonságos és rugalmas távoli elérés nélkül nem érdemes modern munkavégzésről beszélni. E cél eléréséhez több szolgáltatást is bevethetünk a Windows 8-ban és a a Windows Server 2012-ben. A felhasználók számára a lehető legkényelmesebb módon biztosíthatunk folyamatos távelérést a DirectAccess használatával, valamint továbbra is lehetőségünk van a klasszikus VPN kapcsolatok kezelésére. A változó felhasználói igényeknek megfelelően a mobil szélessávú kapcsolatok támogatása is megjelent a Windows 8 részeként. Ahogy a felhasználók egyre több eszközről és hálózatból kapcsolódhatnak be a vállalati rendszerünkbe, a Network Access Protection segítségével megvalósított biztonsági ellenőrzések jelentősége is nő.
DirectAccess A DirectAccess legnagyobb előnye, hogy a felhasználó beavatkozása nélkül képes folyamatos és biztonságos kapcsolatot biztosítani a vállalati hálózathoz. Az elsőként a Windows 7-ben és a Windows Server 2008 R2-ben megismert szolgáltatás IPv6 és IPSec segítségével – megfelelő kiépítés esetén – bármilyen közegből (publikus helyek, otthon, mobil használat) képes a belső, védett hálózat teljes vagy szabályozott elérését biztosítani. Nem csak a felhasználó, hanem a számítógépe is eléri a belső hálózatot, azaz rendszerfelügyeleti szempontból is jelentősen segít az üzemeltetőknek ez a megoldás, hiszen ha a gép elérhető (azaz bármikor, amikor van Internet-elérés), akkor a DirectAccess kapcsolat a különböző felügyeleti megoldások (csoportházirend, WSUS, System Center, stb.) számára is működik.
VPN A DirectAccess mellett a Windows kliensek számára a klasszikus távelérési megoldás, a Virtual Private Network (VPN) továbbra is rendelkezésre áll. Ezzel a módszerrel a Windows Server 2012 jelenleg négyféle módon adhat hozzáférést a belső, védett hálózathoz. ● ● ● ●
Point-to-Point Tunneling Protocol (PPTP) VPN kapcsolatok Layer 2 Transport Protocol over IPsec (L2TP/IPsec) VPN kapcsolatok Secure Sockets Layer (SSL) segítségével titkosított HTTP VPN kapcsolatok, azaz a Secure Socket Tunneling Protocol (SSTP) VPN Reconnect, amely IPsec Tunnel Mode + IKEv2 alapon nyújt távoli elérést, kifejezetten a mobil kapcsolatokat támogatva A Windows szerverek előző verzióiban a távoli elérést biztosító megoldások használata komplex feladat volt, mert például a VPN kapcsolatok létrehozása, kezelése és monitorozása (Routing and Remote Access, RRAS) és a DirectAccess kapcsolatok kezelése csak különböző eszközökkel volt megvalósítható. A Windows Server 2012-ben az új Remote Access szerepkörrel és a hozzá tartozó konzollal mindez összeolvadt, és a DirectAccess mellett a klasszikus VPN kapcsolatokat is ebben a konzolban láthatjuk és kezelhetjük.
Mobile Broadband Ma már a hordozható számítógépek az internethez - és így a belső hálózathoz - sok esetben egy beépített, vagy USB-s eszközön keresztül, mobil internet megoldással csatlakoznak. Eddig az ilyen kapcsolatok felépítéséhez minden esetben külső eszközmeghajtókra és a kapcsolatot létrehozó kommunikációs szoftverre is szükség volt. A Windows 8-cal a helyzet lényegesen egyszerűbb, ugyanis minden összetevő beépítve is elérhető, mind a Windows RT (ARM) mind az x86-os számítógépek esetében. Ezen kívül az új Windows Connection Manager natív módon felügyeli a mobil kapcsolatokat (a WiFi kapcsolatokat is), a Windows Store-ból letölthető operátor alkalmazással pedig olyan komplex lehetőségeket adhatunk a felhasználók kezébe, mint az eszköz állapotának lekérdezése, a hálózati interfészek sorrendjének szabályozása, a repülési üzemmód beállításai vagy a kapcsolatok adatforgalmazási adatainak mérése és kvótázása.
Network Access Protection
Az új DirectAccess gyökeresen átalakult, és ez leginkább a szolgáltatás működtetéséhez szükséges szerveroldalt érinti. A korábbi kötöttségek jelentős része megszűnt vagy megváltozott, ezáltal a Windows Server 2012-vel lényegesen egyszerűbbé válik a DirectAccess beüzemelése és karbantartása. Így immár egy kisebb informatikai környezet számára is lehetővé vált egy modern és kényelmes távoli elérési módszer mindennapos használata. A legfontosabb változások: ● A DA szerver lehet tűzfal mögött is, tehát NAT képes, vagyis nem kell a 2 db publikus IPv4 cím (de használható továbbra is az Edge forgatókönyv szerint), illetve egyetlen hálózati interfésszel is lehetséges DA szervert építeni. ● A csak IPv4-gyel működő belső szerverek elérése is megoldott, tehát nem szükséges a belső hálózatban valamilyen IPv6/v4 konverziós megoldás. ● Nem kötelező a PKI infrastruktúra kiépítése, egy self-signed (önaláírt) tanúsítvánnyal is kiválóan működik a DirectAccess – Windows 8 kliensek esetén. ● Eddig két IPSec csatornával működött a DA – egy kellett a gépnek, egy pedig a felhasználónak –, de innentől egyetlen tunnellel is képes működni. ● Az interaktív telepítés összesen csak kettő lépést tartalmaz, a többit egy automatikus folyamat végzi el. ● A telepítési módot tekintve immár van lehetőségünk arra, hogy válasszunk: a kliensek távoli elérést és távoli felügyeletet kapjanak vagy csak távoli felügyeletet. ● Az új RemoteAccess konzolon rengeteg plusz információt láthatunk, jóval logikusabb elrendezésben, mint korábban. A Dashboardon a szerverek, valamint a kliensek állapota, illetve az aktivitásuk is remekül követhető, míg az Operations status alatt a DA-t alkotó összetevők egészségi állapota látszik. A naplózás mikéntjéről – helyi Windows Internal Database, vagy egy távoli RADIUS szerver – szintén ezen a konzolon dönthetünk. Ez a naplózás tárolja a távoli user adatokat, a statisztikákat, a szerver használatot és a konfiguráció változásokat egyaránt. Emellett fontos tényező az is, hogy a Windows 8 Enterprise kiadása beépítve tartalmazza a csoportházirenddel vezérelhető DirectAccess kliens interfészt is, tehát további műveletek nélkül követheti a felhasználó a DA állapotát, illetve a problémaelhárítás és a naplózás eszközei is rendelkezésre állnak.
12
A NAP, azaz a Network Access Protection a Windows szerverek egyik legfontosabb és legrobusztusabb biztonsággal kapcsolatos komponense. A legfontosabb működési területe viszont egyértelműen a kliens oldal, azaz például a Windows 8 bármilyen hálózati hozzáférési igénye (DirectAccess, VPN, WiFi, stb.) esetén az ügyfél operációs rendszer egészségi állapotát vizsgáljuk meg, és az alapján engedjük be, vagy zárjuk ki a hálózati erőforrások eléréséből a NAP segítségével. A legtöbb szervezet esetében ugyanis jelentős igény mutatkozik egy olyan megoldásra, amely már a fizikai hálózat szintjén elválasztja az alkalmi csatlakozású vagy kevésbé megbízható, illetve kevésbé felügyelhető számítógépeket a belső hálózatba tartozó kliensektől és szerverektől. Viszont a fizikai vagy a távoli hozzáférés szintjén egyáltalán nem rendelkezünk ezekkel az eszközökkel, ugyanakkor sok esetben nem tagadhatjuk meg teljesen a hozzáférést a hálózatra szükségszerűen jogosan kapcsolódó (nem tartományi) gépektől sem. Erre a láthatóan nehezen megoldható helyzetre nyújt gyógyírt a NAP, ami egy olyan szerver-kliens megoldás, amely a védett hálózatunkban alapértelmezés szerint még az IP-kapcsolatot sem engedi meg, és amely csak egy alapos, az üzemeltetők által részletesen finomhangolható „vizsga” sikeres teljesítése esetén adja meg a hozzáférést a belső hálózathoz kapcsolódni szándékozó gépeknek. De a NAP nem csak az ellenőrzést oldja meg, hanem az elutasított gépek számára karantént is biztosít, amivel az automatikus állapotjavításhoz szükséges folyamatokat is képes kézben tartani. A NAP célja tehát a Windows Server 2012-ben is az, hogy a routerek, switchek, a vezeték nélküli hozzáférési pontok, a szoftveres és a hardverebe épített célszoftver rendszerek segítségével érvényesítse a végpontokon a biztonsági elvárásainkat. Mindezt úgy éri el, hogy lekérdezi a hálózatra csatlakozó eszközök egészségi állapotát (bekapcsolt tűzfal, Windows Update kliens, vírus/spyware-irtó állapota, valamint külső gyártóktól származó sablonok alapján más alkalmazásokat is figyelhet), majd ezt összehasonlítja az általunk előre definiált szabálycsomaggal, és az eredmény alapján dönt a hálózati hozzáférés engedélyezéséről. Ha a folyamat negatív eredménnyel zárul, a kapcsolódni szándékozó kliens nem jut be a védett hálózatba, hanem lehetőséget kap biztonsági állapotának szintre hozására, azaz csatlakozhat a publikus szegmensen működő „patikaszerverekhez”, például egy WSUS-hoz, vagy System Center Configuration Managerhez, vagy a vírusirtó-szignatúrákat tároló szerverhez, majd a szükséges korrekció után (ami lehet automatikus is) a kliens végrehajthat egy újabb kapcsolódási kísérletet.
13
Virtuális munkakörnyezetek
RemoteApp
A Windows Server 2012-ben két, egymástól a működési elv alapján jól elhatárolható, ám mégis rengeteg ponton összeérő virtuális munkakörnyezetet is felépíthetünk a felhasználók számára. A már hagyományosnak számító munkamenet (session) alapú mellett a virtuális gépekkel megvalósított desktop virtualizációs (VDI) megoldást is bevezethetjük.
A RemoteApp alkalmazásokkal könnyedén, látványosan és üzembiztosan megoldhatjuk a terminálkliensek alkalmazás ellátását, illetve használatát. A klasszikus forgatókönyv szerint a vékony kliensről egy hagyományos RDP kapcsolatot kell kiépítenünk, majd az adott kapcsolaton (ablakon) belül futtatják a felhasználók a számukra engedélyezett alkalmazásokat. Viszont igazából nincs szükség arra, hogy az egész szerver desktopot (Asztal, Start menü, stb.) is lássák, mivel tipikusan az alkalmazások miatt használunk egy RDS szervert, és nem a környezet miatt. Másrészt biztonsági és erőforrás okokból is jobb lenne, ha nem kellene betölteni mindent a munkamenetbe, illetve egy komplett operációs rendszer környezetet lényegesen nehezebb felügyeleti szempontból rendben tartania az üzemeltetőknek.
Közös komponensnek számít a Remote Desktop (RD) Web Access, az RD Connection Broker és az RD Gateway illetve az RD Licensing. Ezzel szemben a két megvalósítás egy-egy szerepkör alkalmazásában tér el egymástól, ez pedig az RD Session Host illetve az RD Virtualization Host. De a két környezetet akár egymás mellett is alkalmazhatjuk például ugyanabban a tartományban, azonban csak eltérő fizikai kiszolgálókon.
Az új módszer szerint, azaz a RemoteApp használata során, először az üzemeltető a Server Manager-ben egy kollekció részeként felveszi az alkalmazásokat, illetve engedélyezi a publikálásukat a Web Access felületeten is. A forrás több RDSH szerver is lehet, azaz a publikálandó alkalmazások központosítva jelennek meg. Így azonnal, egy helyen látjuk az összes elérhető alkalmazást, amelyekből persze igény szerint több kollekciót is gyárthatunk.
A munkamenet alapú virtuális környezet A Windows Serverben elérhető Remote Desktop Session Host (a klasszikus terminálszolgáltatások megfelelője) nem csak a biztonságos táveléréssel kapcsolatos teendőket látja el, hanem tökéletesen használható alkalmazás alapú virtuális munkakörnyezetek kialakításához is. Ennek köszönhetően választhatjuk azt, hogy bizonyos felhasználók számára – akár kizárólagosan, akár opcionálisan, második környezetként – nem a felhasználó számítógépén, hanem egy Remote Desktop Session Host alapú környezetből biztosítunk vállalati alkalmazásokat.
Továbbá a Windows 7 és a Windows 8 operációs rendszerek esetén, a vezérlőpult „RemoteApp and Desktop Connections” pont alól az ún. RDWA feed segítségével fel is iratkozhatunk a RemoteApp programokra, amelyek ezek után a Start menübe is bekerülnek – így a felhasználó számára pont úgy jelennek meg, mint a hagyományos, helyből indítható alkalmazások.
A desktop alapú virtuális környezet
Ezt a munkakörnyezetet – a klasszikus terminálszolgáltatás jellemzői miatt – például akkor célszerű választani, ha kisebb hardver igénnyel számolhatunk csak, illetve ha nincs szükség arra, hogy a felhasználók emelt szintű jogosultsággal dolgozzanak, és ha csak alkalmazásokat szeretnénk publikálni.
Egyszerű RDS bevezetés és felügyelet A Remote Desktop Services (RDS) komponensek, azaz a Session Host, a Connection Broker, a Web Access és a Gateway (a Licencing Server némiképp kivétel) összes telepítési, konfigurálási és felügyeleti lehetősége a Windows Server 2012-ben egyetlen helyen összpontosul: az új Server Manager-ben.
A Virtual Desktop Infrastructure (VDI) használata egy kiváló alternatíva a klasszikus asztali PC használatával szemben. A felhasználók számára majdnem észrevétlenül, ám biztonságos és központilag felügyelhető módon és a virtualizáció adta rugalmas lehetőségekkel üzemeltethető akár egy nagyobb méretű infrastruktúra is. Egy VDI rendszer tehát olyan környezet, ahol a felhasználók a fizikai gépek helyett/mellett a szervereken/adatközpontban futó virtuális gépeken (is, vagy csak) dolgoznak, teljesen hétköznapi módon, mindezt egy RDS infrastruktúrán keresztül elérve. További előnynek számít, hogy két egymástól jól elváló használatra tervezett virtuális gépet tudunk alkalmazni, azaz a felhasználók kezébe adni. ● ●
Az első típusnál minden felhasználónak van egy saját, dedikált, személyes virtuális gépe (Personal Virtual Desktop), amely csak az övé, testreszabhatja, akár rendszergazda jogosultságot is kaphat rajta, és persze a változásokat mentjük is a .vhd fájlba. Közös használatú gépek, amelyek egy ún. pool-ban várakoznak. Altalános célokra és a változásokat nem mentve (azaz minden változás törlődik, vagyis inkább az eredeti állapot „visszaíródik”) használják a felhasználók ezeket a gépeket, és tipikusan nem is emelt szintű joggal.
Az új szemlélet szerint olyan forgatókönyvet is választhatunk, amelyben az RDS szerepkörök egy menetben felkerülhetnek a rendszerünkre (RDS scenario-based installation). Ezt akár összesen egyetlen szerverrel, és néhány kattintással is megvalósíthatjuk (Quick Start). De ha később mégis bővítünk, azaz pl. egy további Session Host szervert is tervezünk, az új felületen könnyedén beemelhetjük ezt is. Abban az esetben ha nagyobb méretben építünk rendszert (Standard deployment), akkor sem valótlan az eddig vázolt bevezetési elképzelés, hiszen egy helyről, a Server Managerből kényelmesen felvehetjük, telepíthetjük és kezelhetjük az összes különálló RD szerepkört hordozó kiszolgálót, ráadásul vizuálisan is láthatjuk az RDS rendszer építőköveit. Fontos azt is tudni, hogy az RDS platform teljeskörű PowerShell támogatást kapott, azaz minden szerepkör és képesség teljes mértékben konfigurálhatóPowershellel.
14
15
Egyszerű VDI bevezetés és és felügyelet
A felhasználói élmény fokozása
A Windows Server 2012-ben egy VDI rendszer építése is sokat egyszerűsödött és egyúttal számos korláttól meg is szabadult. A Server Manager-en belül, a Standard/Quick forgatókönyvek itt is élnek, azaz egy darab szerverrel is kialakíthatunk egy VDI rendszert, a fő komponens RD Virtualization Hosts mellett a Connection Broker, a Web Access és esetleg a Gateway szerepeket használva.
A felhasználók számára akár az alkalmazásokról van szó, akár a virtuális desktopokról, mindenképpen teljes Windows élményt kell tudnunk biztosítani. A korábbi szerver változatok esetén már népszerűvé vált például a plusz grafikus teljesítményt adó RemoteFX technológia, de a Windows Server 2012-ben a Microsoft alaposan kibővítette az opciókat, többek között az eszközátirányítások lehetőségeinek növelésével, a különböző adaptív megoldásokkal, vagy éppen a WAN hálózatokon keresztüli kapcsolatok sebességének optimalizálásával.
Mivel a kapcsolat az RDS infrastuktúrával szoros, ezért a Server Manager-ben a telepítés első két lépése is ugyanaz lesz, gyakorlatilag csak ezután válik el a két megoldás. A varázsló viszont a VDI esetén is feltelepít mindent, amire szükségünk lehet, egyetlen dolgot kér csupán, ami viszont teljes mértékben újdonság: az ún. arany lemezképet (gold image, lásd később). A hasonlóság tovább folytatódik, ugyanis mind a közös használatú, mind a személyes gépek egy-egy az RDS-nél már megismert kollekció felépítésével kerülnek be a rendszerbe, természetesen teljesen eltérő beállításokkal. Ezen kívül viszont egy harmadik típust is megtalálhatunk a kollekciók között, ami gyakorlatilag immár ekvivalens az RDS RemoteApp módszerrel, ám eddig a VDI infrastruktúrától függetlenül, a „RemoteApp for Hyper-V” néven ismerhettük. A Windows Server 2012ben viszont a Server Manager-ből publikálhatjuk a Hyper-V-ben futó virtuális gépek (tipikusan kliens operációs rendszerek) alkalmazásait illetve meg is jeleníthetjük ezeket a Web Access-ben, így többek között a kompatibilitást tekintve léphetünk nagyot előre. Természetesen a feed alapú feliratkozás ezekre az alkalmazásokra is egy opció, azaz a Vezérlőpultról akár az az RDS, akár a VDI környezetben elérhető RemoteApp-okat is használhatjuk, egyszerre is.
A VDI és a Hyper-V kapcsolata Ha rendelkezünk tapasztalattal Windows Server 2008 R2 VDI témakörben, akkor valószínűleg ismert előttünk a tény, hogy a személyes vagy a pool virtuális gépek előkészítése időigényes és körülményes feladat, még akkor is, ha az ajánlott Powershell szkriptet alkalmazzuk. A Windows Server 2012 rengeteget javít majd ezeken a tapasztalatokon, mivel nagyságrendekkel egyszerűbb lett ezen gépek beemelése a VDI infrastruktúrába. ● ● ●
Az „arany lemezkép” használata: ez egy olyan virtuális gép, amelyet a telepítés és az indító konfigurálás után a sysprep megfelelő paraméterével lezárva, mind a közös, mind a személyes (és a RemoteApp) virtuális gépekhez is felhasználhatunk – sablonként. Természetesen több ilyen sablonunk is lehet, de akár egyet is használhatunk több kollekcióhoz. Fontos tulajdonsága például az, hogy az ezen alapuló virtuális gépek egy-egy differenciális lemezt használnak majd, azaz gyakorlatilag elegendő a sablon gépre terítenünk a frissítéseket és az új alkalmazásokat. Ha a sablon gépünk vagy gépeink készen vannak, többet gyakorlatilag nem kell a Hyper-V konzolt használnunk. Akkor sem, ha a VDI gépparkunk bővítése a cél, hiszen a Server Managerben, egyszerűen megadva a plusz gépek számát, pillanatok alatt megnövelhetjük a rendszer teljesítményét. A Server Managerben a kollekciókba szervezett virtuális gépek teljes újraépítése is egyszerűen megoldható, pár kattintással, teljesen automatikusan.
A két munkakörnyezet között hasonlóság is akad számos, például a már emlegettt kollekciók bevezetése, a felhasználói élményt növelő megoldások kiterjesztése, az ún. User Profile Disks, vagy éppen a kibővített FairShare mechanizmus alkalmazása.
A kollekciók Bármelyik munkakörnyezet típus bevezetése után után már nem csak kiszolgáló szinten látjuk a rendszert, hanem a kollekciók (collection) szintjén is. Egy RDS rendszer esetében ez egyféle lehet (session collection, amely talán a korábbi farmokhoz hasonlít a legjobban, de van több különbség is). A VDI esetén pedig három különböző típust is alkalmazhatunk, a személyes virtuális gépek, a pool típusú gépek illetve a virtuális gépeken keresztül elérhető alkalmazások kollekciója áll a rendelkezésünkre.
● ● ● ● ● ●
Adaptív grafika: Eltérő kódekek használata, optimalizálva a tartalomra (multimédia, kép, szöveg), valamint a cache javítása és a RemoteFX progresszív renderelés bevezetése. Optimalizált média streaming: Új kódek sávszélesség problémákmegoldására. Adaptív hálózat detektálás: Az RDC kliens a felhasználó bevatkozásanélkül detektálja a hálózati viszonyokat, illetve követi a változásokat. DirectX11 támogatás virtuális GPU-val: az adott esetben rendelkezésre álló DX11 kompatibilis hardver mellett szoftveres emuláció is használható (akár keverve is), mind a munkamenet virtualizációnál mind a virtuális gépeknél. USB átirányítás: A korábbi OS-ek esetén a RemoteFX USB átirányítás csak az RDVH-n keresztüli virtuális gépeknél volt elérhető, a Windows Server 2012-ben viszont az RDSH natívan támogatja. Ellenben ugyanehhez a virtuális gépek esetén sincs immár szükséga RemoteFX kompatibilis 3D Video adapterre. Az eddigek mellett érdemes még megemlíteni az UDP/TCP kevert használatot (Intelligent Transports) a kapcsolatok kialakításánál a teljeskörű és alaposan egyszerű sített Single Sign-On (SSO) alkalmazását, valamint az egyéb böngészők (Chrome, Firefox, Safari) Web Access támogatását
FairShare Ahhoz, hogy a virtális vagy fizikai kliensekről indított munkamenetek megfelelő sebességgel és válaszidővel működjenek, nemcsak nagysebességű hálózatra, vagy erős RDS/VDI szerverekre van szükség, hanem az erőforrás kiosztás igazságos szabályozására is. A FairShare lényege az, hogy amelyik kliens több erőforrást követel, az sem kap egy időszeleten belül többet mint a másik kliens, hanem gyakorlatilag vár a sorára.
Korábban, például a Windows Server 2003-nál viszont az adott (általában elsőként érkező) munkamenet megkapta a teljes erőforrásigényét – akár a többi munkamenet hátrányára is. A Windows Server 2012-ben a rendelkezésre álló kapacitás elosztása automatikusan kiterjed a CPU-ra, a lemezekre (I/O műveletek), illetve a hálózati erőforrásokra is (sávszélesség), ami lényegesen kiegyensúlyozottabb rendszert eredményez nagyobb terhelés és sok felhasználó esetén.
User Profile Disks Ez a lehetőség a felhasználók környezeti beállításainak (profiljának) tárolásában segít a pool típusú virtuális gépeknél illetve a RemoteApp programoknál. Az User Profile Disks célhelye nem a virtuális gép lemeze, hanem tipikusan egy hálózati megosztásra irányítjuk és például méretkorláttal ellátva állíthatjuk be a felhasználóknak. A cél, hogy a klasszikus vándorló profil nélkül is – persze részletesen szabályozható módon – lehessen testreszabni a felhasználói környezetet. A User Profile Disks szintén kollekció szinten jut érvényre, és így akár egy adott felhasználó esetén más és más is lehet, azonban a személyes virtuális gépeken – értelemszerűen – nem alkalmazható.
Egy-egy kollekcióban a hozzárendelt RDSH/VDI gép(ek) gyakorlatilag ös�szes beállítása megtalálható, többek között a jogosultságok, a kliens RDP beállítások, a RemoteApp publikálás, az aktuális kapcsolatok, a virtuális gépek jellemzői és egyebek.
16
17
A Windows 8 licencelése
Windows 8 Enterprise
Windows 8 kiadásai és a Windows RT
A Windows 8 Enterprise kiadása a Windows 8 Pro minden funkcióján túlmenően további szolgáltatásokat nyújt a mobil munkavégzés, biztonság és felügyelet, valamint a virtualizáció területein, és a Software Assurance for Windows és Windows VDA előfizetés keretében érhető el.
A Windows 8 és Windows RT rendszereket a legkisebbtől a legnagyobb multinacionális vállalkozások számára terveztük.
A Windows 8 Enterprise funkciói az alábbiak, melyek nem részei a Windows 8 Pro rendszernek:
Eszközökre előtelepítve az alábbi kiadású Windows rendszereket lehet megvásárolni (OEM licenc): ●
Windows 8: otthoni felhasználók számára kiváló választás, mely tartalmazza (többek között) az új kezdőképernyőt, a modern alkalmazásokat, a Windows Áruház elérését, több felhasználói fiók lehetőségét, a megszokott Windows desktopot 32 és 64 bites alkalmazások futtatása számára, a Microsoft Accounton keresztüli szinkronizációt, érintőképernyő, egér és billentyűzetes bevitelt, külső eszközök rendkívül széles körének csatlakoztatási lehetőségét.
● Windows 8 Pro: vállalatok és intézmények számára remek választás új számítógépeken; a Windows 8 fent leírt funkcionalitását emelt szintű biztonsági és felügyeleti funkciókkal egészíti ki, úgy, mint pl. domainba léptetés és csoportházirendek érvényesítése, BitLocker a merevlemezes és USB-k titkosítása, Client Hyper-V, fájlrendszer titkosítása és Remote Desktop host. ●
Windows RT: A Windows-család új tagja kizárólag előtelepítve érhető el ARM architektúrájú eszközökön. A vékony, könnyű és hosszú akkumulátor-élettartamú eszközökön elő vannak telepítve az érintésre optimalizált Microsoft Word, Excel, PowerPoint és OneNote alkalmazások. Az új startképernyőn futtathatók a Windows Áruházból telepíthető modern alkalmazások, viszont a Win32 alrendszerben futó alkalmazások nem. Több felhasználói fiók is létrehozható, mindegyik szinkronizálható a Microsoft Accounttal. Külső eszközök széles körével együttműködik, többek között USB csatlakozókon keresztül.
Funkció
Rövid összefoglaló
DirectAccess
Távoli hozzáférést nyújt a vállalati hálózathoz külön VPN alkalmazás használata nélkül.
BranchCache
A távoli telephelyeken működő desktopok válaszidejét növeli fájlok, weboldalak és más tartalmak átmeneti letárolásával a felhasználó PC-ken, elkerülve az ismételt letöltéseket a központi kiszolgálókról.
AppLocker
Az Informatika szabályozhatja, mely alkalmazások futhatnak a felhasználók számítógépein.
Virtuális desktop Infrastruktúra (VDI)
Microsoft RemoteFX és Windows Server 2012 funkciók, mellyel a felhasználók számár a vizuálisan gazdag, akár 3D-s tartalmak, USB-s perifériák és touch-képes eszközök szolgáltathatók bármilyen hálózaton (LAN és WAN) keresztül VDI használata esetén.
Enterprise Sideloading for Windows 8 Apps
Az Enterprise Sideloading használatával a domainba léptetett PC-kre közvetlenül, a Windows Store elkerülésével lehet Windows 8 modern appokat telepíteni.
Mennyiségi licencszerződés keretében az alábbi termékek vásárolhatók meg: ● Windows 8 Pro Upgrade: Frissítési licenc a Windows korábbi verzióinak Pro(fessional) kiadásairól. ● Windows 8 Enterprise: Ez a kiadás Software Assurance for Windows előfizetésével érhető el, és a Windows 8 Pro minden funkcionalitásán túlmenően prémium szolgáltatásokat tartalmaz a nagyvállalati szintű mobilitás, biztonság, felügyelet és virtualizáció terén. ● Software Assurance (SA) for Windows: A Software Assurance szolgáltatás nyújtja a Windows használatához a legnagyobb rugalmasságot. Része a Windows 8 Enterprise, az új verziókra való jog, különféle eszközök és képzések a rendszer legjobb üzemeltetéséhez. ● Windows Virtual Desktop Access (VDA) előfizetés: A Windows VDA előfizetői licenc jogot ad virtuális Windows desktop környezetekhez való hozzáférésre olyan eszközökről, melyek nincsenek lefedve Software Assurance for Windows szolgáltatással, mint pl. vékony kliensekről.
Microsoft Desktop Optimization Pack A Microsoft Desktop Optimization Pack (MDOP) komponensei magasabb szinten segítik a Windows rendszerek felügyeletét, üzemeltetését, virtualizációval egyszerűsítik a terítését és visszaállítását rendszeresemény esetén. A Software Assurance szolgáltatás mellett vásárolható meg kiegészítő licencként, és addig használhatják funkcióit, ameddig az MDOP-előfizetésük él. Az MDOP-csomag az alábbi technológiákat tartalmazza:
● Microsoft Desktop Optimization Pack (MDOP): Az MDOP komponensei magasabb szinten segítik a Windows rendszerek felügyeletét, üzemeltetését, virtualizációval egyszerűsítik a terítését és visszaállítását rendszeresemény esetén.
Technológia
● Windows Companion Subscription License (CSL): A Windows CSL lehetővé teszi az alkalmazottak számára, hogy több eszközükön is elérhessék Windows munkakörnyezetüket.
Virtualize
Manage
Restore
18
Rövid összefoglaló
Microsoft Felhasználói Állapot Virtualizáció (User Experience Virtualization – UE-V)
A felhasználó a saját munkakörnyezetét, beállításait és dokumentumait érheti el több eszközön is, azaz mindig ugyanaz a munkakörnyezet fogadja különféle számítógépein. A hozzá szükséges felhasználói állapot virtuálizációs technológia egyszerűen kiépíthető és integrálható a rendszerfelügyeleti környezetbe.
Microsoft Alkalmazásvirtualizáció (Application Virtualization – App-V)
A Microsoft Alkalmazásvirtualizáció (App-V) lehetővé teszi szinte bármilyen alkalmazás eljuttatását a végfelhasználókhoz anélkül, hogy közvetlenül telepíteni kéne a számítógépeikre.
Microsoft Enterprise Desktop Virtualization (MED-V)
A Microsoft Enterprise Desktop Virtualization (MED-V) segítségével lehetőség nyílik a Windows 8-ra való áttérésre még akkor is, ha néhány alkalmazás még nem kompatibilis vele.
Microsoft Advanced Group Policy Management (AGPM)
A Microsoft Advanced Group Policy Management (AGPM) kibővíti a Csoportházirendek meglévő funkcionalitását változáskezeléssel és audittal.
Microsoft BitLocker Administration and Monitoring (MBAM)
A Microsoft BitLocker Administration and Monitoring (MBAM) egyszerűsíti a és központosítja a BitLocker telepítését és felügyeletét, kulcsvisszaállítását, és kimutatásokat készít a szervezet minden eszköze titkosítottságának állapotáról.
Microsoft Diagnostics and Recovery Toolset (DaRT)
Csökkenti a leállások idejét, gyorsítja a rendszervisszaállítást és a nem-bootolható Windows-alapú rendszerek helyreállításához ad eszközöket.
19
A Windows Server 2012 legalább akkora változást hoz a Windows Server 2008 R2-höz képest, mint amekkora változást jelentett a Windows 2000 Server a Windows NT 4.0 után. Minden területen találkozhatunk lényeges újdonságokkal, amik egyaránt segítenek a meglévő rendszerek beruházási és üzemeltetési költségeinek csökkentésében, miközben számtalan új fejlesztési lehetőséget biztosítanak a vállalati informatika számára. A virtualizáció mindenkié! Mára már a virtualizáció használata alapvető elvárássá vált a vállalati informatikai rendszerek esetében, ezért a Windows Server 2012-vel érkező Hyper-V kiemelt fókuszterület volt a szoftver fejlesztése során. Az elkészült Hyper-V a jelenleg piacon található valamennyi virtualizációs megoldással felveszi a versenyt, és továbbra is teljesen ingyenesen érhető el akár a Windows Server 2012, akár a külön letölthető Hyper-V Server 2012 részeként. Mostantól a legszerényebb IT költségvetéssel rendelkező vállalatok is kialakíthatnak nagyvállalati tudású, magas rendelkezésre állású, vagy akár hibatűrő rendszereket, anélkül, hogy a virtualizációs rétegért fizetniük kellene. A Hyper-V skálázhatósága olyan szintre emelkedett, hogy nehezen lehetne olyan szerverkörnyezetet vagy feladatot találni, amit ne lehetne mostantól virtualizálni. A legnagyobb adatbázisok vagy vállalatirányítási rendszerek is könnyedén, és a megfelelő magas rendelkezésre állás mellett mozgathatóak be a virtualizált adatközpontokba. A Hyper-V a legnagyobb, többprocesszoros szerverek esetében kialakított NUMA topológiákat is képes figyelembe venni, és az erőforrásokat ezek mentén optimalizálni. A Linux operációs rendszerek támogatása sem probléma többé a 3.4-es kernelbe bekerült, Microsoft által fejlesztett integrációs komponenseknek köszönhetően. Az egyszerre több vállalat informatikai rendszerét kiszolgáló (multitenant) szolgáltatói adatközpontok kialakítására is létezik biztonságos és egyszerű módszer az új Hyper-V és a System Center Virtual Machine Manager együttes bevetésével.
Mi mindenre jó ma már egy operációs rendszer? A Windows Server 2012 segítségével nem csak a szoftverköltségek, hanem akár a hardverköltségek is jelentősen csökkenthetőek. Azáltal, hogy az x86-os architektúra lehetőségei hatalmasat fejlődtek, a Windows Server 2012 is egyre több, korábban csak költséges célhardverre jellemző feladatot képes ellátni. A Storage Spaces és a hozzá kapcsolódó új tárolási technológiák egy átlagos szerverhardveren, speciális RAID vezérlők nélkül, akár SATA lemezeken is képesek mindazt a tudást biztosítani, amit egy belépő szintű tárolóeszköz – de lényegesen alacsonyabb költségek mellett. Akár hibatűrő tárolóeszközt is építhetünk kizárólag Windows Server 2012 használatával az aktív-aktív fájlszerver szerepkör felhasználásával.
A vállalati informatika motorja
A rendszerben beépítetten elérhető deduplikáció és thin provisioning képességek révén a nagyobb tárolóeszközökkel és kapacitással rendelkező szervezetek is azonnal, újabb hardverek beszerzése nélkül profitálhatnak – ráadásul nem csak a tárolóeszközökön, hanem valamennyi szerveren, amin ezeket a funkciókat igénybe veszik, akár a szerver lokális lemezein is. A hálózat esetében hasonló lehetőségeket a hálózatvirtualizáció tartogat, amely képesség mindeddig csupán a legnagyobb tudású hálózati eszközök sajátja volt, de ma már építhetünk virtuális hálózatokat teljesen szoftveres alapokon is. Amennyiben a legújabb technológiákat aktívan használni képes hardverekkel rendelkezünk, azt a Windows Server 2012 azonnal kézzelfogható teljesítménynövekedéssel hálálja meg – legyen szó akár hálózati szinten az SR-IOV, az IP Sec Task Offload vagy a Direct SMB (RDMA) támogatásáról, illetve a tárolóeszközök kapcsán az Offloaded Data Transfer lehetőségéről.
A Windows 8 hűséges társa A Windows Server az esetek túlnyomó többségében a Windows operációs rendszer párjaként, a felhasználók számítógépeinek központi felügyeletére, valamint a számukra nyújtott további szerverfunkciók kialakítása miatt kerül bevezetésre. A Windows környezetek felügyelete terén is számos újdonságot találhatunk – ezek egy jelentős részét a Windows 8 kapcsán már áttekintettük, azonban a biztonság, a jogosultságkezelés vagy a csoportházirend újdonságai már itt, a Windows Server 2012 kapcsán kerülnek terítékre.
21
Virtualizáció A Windows Server 2012-vel érkező Hyper-V a Microsoft ingyenes virtualizációs megoldása, ami egyaránt elérhető a Windows Server 2012 részeként (telepíthető komponensként), valamint önállóan letölthető formában is, ez utóbbi a Hyper-V Server 2012 névre hallgat. Bármelyiket is válasszuk a kettő közül, ugyanazt a skálázhatóságot és funkciógazdagságot kapjuk meg. Az új Hyper-V azon túl, hogy könnyedén felveszi a versenyt az összes, jelenleg elérhető virtualizációs platformmal, olyan új képességekkel bővült, amik lényegesen olcsóbbá teszik a magas rendelkezésre állású és hibatűrő rendszerek építését, a katasztrófatűrő telephelyek kialakítását, valamint a privát és partnerfelhők üzemeltetését.
Host VM
Fürt
Windows Server 2008 R2 Hyper-V
Windows Server 2012 R2 Hyper-V
Növekmény
Logikai processzor
64
320
5x
Fizikai memória
1TB
4TB
4x
Virtuális CPU/Host
512
2048
4x
Virtuális CPU/VM
4
64
16x
Erőforrás
VM memória
64GB
1TB
16x
Aktív VM/Host
384
1024
2,7x
Guest NUMA
Nem
Igen
-
16
64
4x
1000
8000
8x
Fürttagok száma Maximális VM szám
A Hyper-V paramétereinek maximumai a korábbi változathoz képest óriásit emelkedtek, és ezzel nem csak a korábbi Hyper-V változatok, hanem a többi virtualizációs platform tudását is sikerült a legtöbb ponton meghaladni, vagy legrosszabb esetben utolérni. Hostonként maximum 4TB memória, 320 logikai processzor és 2048 vCPU támogatott, és ezeket az erőforrásokat a Hyper-V a virtuális gépek számára a meglévő NUMA topológiának megfelelően is ki tudja osztani. Virtuális gépenként 1TB memória, 64 vCPU és 64TB virtuális lemezméret támogatott, és egy egy Hyper-V fürt legfeljebb 64 tagból és 8000 virtuális gépből állhat. Az új Hyper-V és a Windows Server 2012 használatával nincs olyan szerverfeladat, amit ne lehetne magabiztosan virtualizálni az x86-os platformon.
Hyper-V Server 2012 A Hyper-V Server 2012 a Hyper-V ingyenesen letölthető változata, amelyik akár csak az elődei, korlátozás nélkül tartalmaz minden olyan funkciót és képességet, ami a virtualizáció szempontjából lényeges lehet. Nincs időkorlát, nincs korlátozott kiszolgálószám, nincs korlátozott memória, processzortámogatás, és még sorolhatnánk. Minden képesség, ami elérhető a Windows Server 2012 Datacenter hypervisorában, megtalálható a Hyper-V Server 2012-ben is. A termék neve nem véletlen: nincs benne a „Windows” szó, amivel azt jelzi a gyártó, hogy nem jár hozzá Windows kiszolgáló futtatási jog. Vagyis letölthetjük, és telepíthetjük hasonlóan mint egy operációs rendszert, de ha Windows vagy Windows Server operációs rendszereket szeretnénk futattni rajta, akkor azok licenceiről külön kell gondoskodnunk. Azonban még ha nem is szerepel a „Windows” a névben, technikai értelemben ez egy tiszta Windows architektúrát hordozó megoldás. Emiatt a Hyper-V Server minden olyan hardver konfiguráción fut, amelyen Windows szerver működhet – vagyis a hardverkompatibilitás nem okozhat gondot. További tulajdonságai: ● Csupán egyetlen szerepkört (Role) tartalmaz – ami a Hyper-V. ● Rendelkezik viszont minden olyan képességgel (Feature), amely a Hyper-V-vel kapcsolatba hozható (Failover Cluster, WoW64, MultipathIO, .Net Framework). ● Kizárólag „Server Core” módon telepíthető, azaz tisztán parancssoros változatban használható a helyi konzolról, de távolról a megszokott grafikus eszközökkel is felügyelhetjük.
22
A Live Migration a Windows Server 2008 R2 óta a Hyper-V része, és a segítségével kiesés nélkül tudjuk a virtuális gépeinket mozgatni a fizikai szerverek között. Azonban a kritériumlista eddig mindenképpen tartalmazta a közös tárolót (Cluster Shared Volume, pl. egy iSCSI vagy egy SAN tárolón) és a hibatűrő fürt megépítését. A Windows Server 2012 Hyper-V estén viszont mindenféle közös vagy megosztott tárolóeszköz nélkül is végrehajthatjuk a gépek leállás nélküli migrációját, azaz például két önálló, a virtuális gépeket helyben, egy szimpla köteten tároló fizikai gép esetén is. Ehhez mindössze egy Ethernet hálózati kapcsolat szükséges. Elég egy egyszerű konfigurálást végeznünk előzetesen mindkét host gépen, amely során engedélyezzük magát a migrációt, valamint akár a szimultán üzemmódot is – mivel most már több gépet is mozgathatunk egyszerre. Ha szükség van rá, az IP cím / alhálózat szerinti hatókört is korlátozhatjuk.
Skálázhatóság Rendszer
Shared-Nothing Live Migration
Live Storage Migration Az előzekben ismertetett Shared-Nothing Live Migration esetén a virtuális lemezek mozgatása is megtörténik, azonban erre külön, a virtuális gép migrációja nélkül is van lehetőségünk – anélkül, hogy eközben a virtuális gépet le kellene állítanunk. Ez a tárolóeszközök cseréjekor, illetve a virtualizált rendszer másik hostra vagy másik fürtre költöztetésekor lehet a segítségünkre. A tároló migráció az adott virtuális gép részeit számba véve több lehetőséget is kínál számunkra: ● A virtuális géphez tartozó összes fájl mozgatása egyetlen új helyre ● A virtuális géphez tartozó különböző fájlok mozgatása több új helyre ● Az virtuális géphez tartozó összes fájl mozgatása – kivéve a virtuális lemezeket Bármelyik esetről is legyen szó, a célpont kétféle lehet, egy másik Hyper-V host gép helyi lemeze, vagy egy Windows Server 2012 fájlszerver SMB 3.0 típusú hálózati megosztása (erről bővebb információt a következő fejezetben nyújtunk). Ide kapcsolódó újdonság továbbá az alaposan átalakított pillanatfelvétel készítés is. Korábban a pillanatfelvételek ugyan online készültek, de a visszaolvasztásukra (merge) csak a virtuális gép lekapcsolása után került sor. Ez az korlát az új verzióban megszűnt, azaz minden tevékenység online történik.
Hyper-V Replica Egy újabb nagyon fontos újdonság a virtuális gépek aszinkron replikációs lehetősége két Hyper-V-t futtató számítógép között, amihez szintén nincs szükség például közös tárolóra vagy hibatűrő fürtre. Ez azt jelenti, hogy az egyik Hyper-V hostunkon található virtuális gépünk lemezeiről és beállításairól egyszerűen a konzolról indítva létrehozhatunk a másik Hyper-V hostra egy másolatot. Az eredeti virtuális gép folyamatosan, aszinkron módon, akár 5 perces időközönként szinkronizálni fogja állapotát a másik oldallal. Amennyiben az elsődleges rendszeren a virtuális gépünk leáll, a másik szerverre replikált virtuális gépet bármikor el tudjuk indítani – manuálisan. Ezzel a megoldással könnyedén és költséghatékonyan építhetünk katasztrófatűrő telephelyet, és a replikációnak köszönhetően az elsődleges telephelyet ért végzetes meghibásodás esetén minimális adatvesztéssel tudunk átállni a másodlagos rendszer használatára. Ilyenkor a replikáció iránya is megfordul, és amint újra elérhetőek lesznek az elsődleges telephely szerverei, a replikáció folytatódik a két szerver között, csak ebben az esetben ellenkező irányban. Arra is van mód, hogy két telephely virtuális gépei keresztbe, mindig az ellenkező telephelyre replikálódjanak, így az „A” telephely virtuális gépei a „B” telephely számítógépeire replikálódnak, míg a „B” telephely virtuális gépei az „A” telephely számítógépeire replikálódnak – és így bármely oldal kiesése esetén rendelkezünk katasztrófatervvel. Ezen kívül több visszaállítási pontot is replikálhatunk, a replikációhoz szükséges kötelező hitelesítés történhet tanúsítvány segítségével, valamint igény szerint behatárolhatjuk a replikációs célpontokat is. A Hyper-V replikációs lehetőség magában foglalja a replikációs állapot megfigyelését és egészségi adatainak lekérdezését is.
23
Hyper-V Extensible Network Switch
IPSec Task Offload
A Hyper-V új verziójában a hálózati switchek számos új képességgel bővültek. Szabályozható a virtuális gépeknek szánt sávszélesség, valamint tükrözhetőek a switch portok, azaz a gép teljes kimenő/bejövő hálózati forgalmának duplikálása megoldható egy másik switch portra, például egy másik virtuális géphez, amely a monitorozást végzi. Védelmet kaphatnak a virtuális gépek az illegális DHCP vagy router advertisment forgalommal szemben, illetve minden eddiginél részletesebben konfigurálhatjuk a virtuális gépek izolációját (PVLAN-ok), és a diagnosztikai képességek is bővültek (Unified Tracing).
Az IPsec Task Offload a központi processzor terhelését hivatott csökkenteni az intenzív számítási teljesítményt igénylő IPSec titkosítás esetén. Abban az esetben ha a kompatibilis hálózati hardvert használunk, az IPSec Task Offloaddal drámai módon csökkenthetjük az IPSec-et használó fizikai gépek CPU terhelését.
Ha esetleg nem elegendő a beépített switchek képessége, akkor kicserélhetőek a fizikai eszközöket gyártó cégek termékeivel, például a Cisco Hyper-V-hez gyártott teljes mértékben kompatibilis eszközeivel. Adott esetben viszont elképzelhető, hogy a switchet elég csak kiegészíteni egy-egy funkcióval. Több gyártó is akad már, akik virtuális tűzfalat, antivírus ellenőrző modult, vagy DoS támadás ellen védő szoftvert gyártanak a Hyper-V hálózati kapcsolójához. Ezeket a külső megoldásokat – a nyitott platform előnyei miatt – a megszokott módon, Powershell, WMI vagy a Hyper-V konzol segítségével konfigurálhatjuk és felügyelhetjük.
Hálózat-virtualizáció A hálózat-virtualizció teljesen új képesség a Windows Server 2012-ben, amely elsősorban az azonos IP címtartományok közötti konfliktusokat oldja fel. Tipikusan akkor szembesülhetünk ezzel a problémával, ha a szervereinket a felhőbe mozgatjuk például egy IaaS forgatókönyv apropóján. Ebben az esetben elképzelhető, hogy a szervereink hálózatati címzése megegyezik a felhőszolgáltató szervereinek címzésével. A hálózat-virtualizáció segítségével áthídalhatjuk ezt a problémát, anélkül, hogy bármelyik IP alhálózat adatait meg kellene változtatnunk. A működés lényege a következő: a Windows Server 2012 host gépen futó virtuális gépek két különböző IP címet kapnak majd ezután, egyet amelyet eddig is használtak (Customer Address – CA), illetve egy másikat (Provider Address – PA), amelyen keresztül kapcsolódik a szolgáltató – eddig azonos, a CA-nak megfelelő – IP tartományba tartozó hálózatához. A virtuális gépek ebből semmit sem észlelnek, viszont a hoston futó hálózat-virtualizáció miatt a külső hálózat a szervereinket elérve egy alternatív címzési rendszerrel lép kapcsolatba, így az ütközés elmarad. A virtuális IP címek fizikai címekhez történő hozzárendeléséhez szükséges egy speciális, köztes kapcsolat. Ezt a kapcsolatot a Windows Server 2012 és a Hyper-V esetén a Network Virtualization Generic Routing Encapsulation (NVGRE) nyújtja, ami a virtuális gépek csomagjait egy új fejléccel csomagolja be mielőtt azok a fizikai címekhez érkeznének. Egy másik módszer az ún. „IP rewrite”, amely a virtuális gépektől érkező csomagok címeit módosítja, szintén köztes rétegként. A hálózat-virtualizáció, mint szolgáltatás a Windows Server 2012 részeként a beépített eszközök segítségével, PowerShellel és WMI használatával konfigurálható. A nagyobb rendszerek esetében – mivel a hálózat-virtualizáció alkalmazása a legnagyobb előnnyel az adatközpontokban jár – a System Center Virtual Machine Manager 2012 Service Pack 1-gyel tudjuk biztosítani a teljes rendszer működtetéséhez és felügyeletéhez szükséges keretrendszert.
A Windows Server 2012-től kezdve ezt megtehetjük közvetlenül a virtuális gépeink és a velük IPSec kapcsolatban álló fizikai gépek között is. Ehhez az adott virtuális gép beállításai között kell engedélyeznünk ezt az opciót.
SR-IOV A Single Root I/O virtualization (SR-IOV) a PCI Express specifikáció egy olyan bővítménye, amely például a hálózati interfész számára is engedélyezi, hogy megossza a hozzáférést a saját erőforrásai és a rendelkezésre álló számos PCIe hardveres opció között. Windows Server 2012 Hyper-V esetén ez azt jelenti, hogy a hálózati interfész az egyes portok fizikai konfigurációját a virtuális gépekhez hozzárendelt virtuális portokra osztja, kihagyva ezzel a virtuális kapcsolót. A direkt hozzáférés előnye természetesen az I/O terhelés csökkenése, azaz a hálózati teljesítmény jelentős javulása lesz, majdnem teljesen elérve a fizikai adapter teljesítményét, egyúttal alacsony szinten tartva a gazdagép terhelését. A beüzemelését a Hyper-V konzolból érhetjük el, virtuális kapcsolónként engedélyezve az SR-IOV hardvert, valamint ugyanezt megtehetjük PowerShellből is, amel�lyel viszont további SR-IOV jellemzőket is konfigurálhatunk. Fontos tudni, hogy ezt a képességet csak 64 bites vendég operációs rendszer esetén érhetjük el, és jelen pillanatban csak a Windows Server 2012-vel és a Windows 8-cal, továbbá célszerű ellenőrizni az SR-IOV hardver eszközünk firmware-ének frissítését is.
Kibővített tárolási lehetőségek Az új Hyper-V-ben bemutatkozik egy új merevlemez formátum is. A .vhd fájlok természetesen továbbra is használhatók, de az alapértelmezett formátum immár a .vhdx lett. A korábbi 2 TB-tal szemben – a piacon egyedülálló módon – 64 TB-ig növelhető a lemez mérete, illetve az új formátum védettebb az adatsérülés ellen (pl. egy nem tervezett kikapcsolás utáni esetre gondoljunk), illetve nagyobb a blokkméret a dinamikus és a differenciális lemezek esetén. A virtuális gépek hardver eszközkészlete egy új, szintetikus eszközzel egészült ki, azaz az új Hyper-V-ben a virtuális gépek egyenként, maximum 4 db virtuális Fibre Channel adaptert is használhatnak. Ezek a virtuális adapterek éppúgy viselkednek, mint a fizikai társaik. Közvetlenül elérhetnek FC SAN eszközöket és például ugyanúgy zónázhatók is. Ráadásul nem veszítik el a mozgathatóságukat, a Live Migration funkció továbbra is alkalmazható rájuk. Ennek a bővítésnek az előnyeit talán a legjobban úgy képzelhetjük el, ha egy olyan tárolóeszközre gondolunk, amelyet eddig nem voltunk képesek virtualizált környezetben kihasználni, mivel a virtualizációs réteg nem támogatta az FC SAN tárolót – megfelelő csatlakozási pont, azaz a virtuális adapter híján. Ellenben Windows Server 2012 alatt a virtuális gépből az adott LUN-ra direktben csatlakozni immár nem okoz problémát.
Linux operációs rendszerek támogatása A Linux operációs rendszerek támogatása is sokat fejlődött, azonban ez nem kifejezetten a Hyper-V, hanem a Linux kernelének köszönhető, amelybe bekerültek a Microsoft által fejlesztett komponensek. A 3.4-es Linux kerneltől kezdődően minden disztibúció beépítetten tartalmazza a Hyper-V Linux Integration Servicest, vagyis alapból képesek tökéletes sebességgel és integrációval működni az ennél újabb kernelű Linuxos virtuális gépek a Hyper-V felett. A SetLinuxVM segédprogram (http://www.setlinuxvm.com/) segítségével a Linux virtuális gépek felügyelete is további támogatást kapott. A hivatalosan támogatott Linux operációs rendszerek listája tovább bővült, jelenleg a következőképpen néz ki: RHEL 5.7, 5.8, 6.3, CentOS 5.7, 5.8, 6.3, SLES 10 SP4, SLES 11 SP1/SP2. Ezen felül (bár jelenleg hivatalosan nem támogatott) megfelelően futnak rajta többek között a FreeBSD 9, Solaris 10 u9 és Solaris 11, Debian 6.0.3, Fedora 16, Oracle Enterprise Linux 6.2, Ubuntu 10.04, 12.04 rendszerek is. A lista folyamatosan bővül.
24
25
Tárolás, fájlszerver és fürtözés A Windows Server 2012-ben a virtualizáció mellett a tárolás területén található meg a legtöbb és legnagyobb horderejű újdonság. Az új operációs rendszer segítségével kiaknázhatóvá válnak a legújabb hardvereszközök képességei a rendszer sebességének és magas rendelkezésre állásának növelésére. Ezen kívül az a tendencia is jól látható, hogy egyre több, korábban csak a hardverre jellemző képesség épül be szoftveresen a szerverbe, így a kisebb költségvetéssel és mindeddig kevesebb lehetőséggel rendelkező vállalatok is belevághatnak a magas rendelkezésre állású, hibatűrő megoldások építésébe.
Storage Spaces A Storage Spaces egy integrált, tároló-virtualizációs technológia. Segítségével redundáns, működés közben javítható, virtuális lemezekkel dolgozó tárhelykezelő megoldást kapunk. Működése során ún. storage pool-okat hozhatunk létre a rendelkezésre álló fizikai lemezekből, majd ezekből készíthetünk és ajánlhatunk ki virtuális lemezeket az operációs rendszer komponensei, például fájlszerverek, fürtök, vagy a Hyper-V számára. Ezek a virtuális lemezek jellemzőiket tekintve gyakorlatilag megegyeznek a fizikai lemezekkel, egyetlen fontos különbséget leszámítva: a pool-on belül több fizikai lemezt is kezelhetünk egyként.
Beépített deduplikáció A Windows Server 2012 Data Deduplication nevű rész-szerepköre a tárolóinkon ismétlődő adatmennyiséget csökkenti, azaz a több példányban tárolt adatblokkokat felszabadítja, magasfokú adatintegritás megőrzéssel, miközben az erőforrás terhelése (processzor, memória) átlagosnak tekinthető. Általánosan elmondható, hogy hagyományos fájlszerverek esetén 2:1 aránnyal képes működni (az 1TB-ot foglaló adatok a deduplikáció után 500GB-nyi helyet foglalnak majd). Azonban olyan tárolás esetén, ahol valóban nagy az ismétlődés (pl. vhd/vhdx fájlok) ez az arány a 20:1-et is elérheti. Fontos tudni, hogy ez a funkció kötetszinten érhető el, és a használat alatt álló fájlokra nem használható – azaz például a futó virtuális gépek .vhd fájljai vagy nyitott rendszerállományok esetén. Skálázási és teljesítmény tulajdonságait tekintve figyelemreméltó a működési sebessége, illetve a szimultán működés, azaz egyszerre több köteteten is képes futni egy szerveren, anélkül, hogy a rendeltetésszerűen működő egyéb folyamatok teljesítményét befolyásolná. Ha a szerver aktuálisan nagyobb terhelést kap, akkor a deduplikáció képes akár automatikusan leállni, de az üzemeltetőknek rugalmas lehetősége van arra is, hogy bármikor, időzítve futtassák. Felhasználási területe kiterjed minden olyan környezetre, ahol probléma a megfelelő kapacitás biztosítása, de különösen fontos lehet pl. a telephelyek és a központ között használható BranchCache szolgáltatás megléte esetén. A felügyeleti eszközei a Server Manager-ben, illetve PowerShell-en keresztül érhetőek el, az utóbbival például a Sysprep-pel előtelepített gépek apropóján is, így akár már az első rendszerindítás során elindítható automatikusan a deduplikáció folyamata.
SMB 3.0 A Server Message Block (SMB) protokoll a hálózati fájlmegosztások protokollja, azaz egy kliens-szerver rendszerben ennek segítségével érheti el, olvashatja, írhatja vagy frissítheti a felhasználó, vagy a felhasználó nevében futó alkalmazás a fájlszerveren elhelyezett és megosztott fájlokat. Jelentős ideje teljesen hétköznapi módon használatos a Windows operációs rendszerek világában, ám a Windows Server 2012-ben megtalálható 3.0-ás verzió nagyon sok újdonságot és hasznos képességet hoz magával.
Ezek a lemezek szimpla kötetekként, illetve tükrözött (legalább kettő virtuális lemezzel) vagy paritásos (legalább három virtuális lemezzel) kötetekként is megjelenhetnek – közvetlenül a lemezkezelőben, redundanciát vagy nagyobb teljesítményt nyújtva. A virtuális lemezek méretének meghatározásánál választhatunk fix értéket vagy az ún. Thin Provisioning segítségével a rendelkezésre álló fizikai kapacitásnál nagyobbat is – a jövőbeni bővítéseket előkészítve. A Storage Spaces SATA, SCSI, iSCSI és SAS lemezekkel dolgozik, képes alkalmazni a Hot Spare (meleg tartalék) lemeztípust, és nem igényel maga alatt semmilyen RAID technológiát, hanem képességként ezt is nyújtja. A Storage Spaces teljes funkcionalitása a Server Managerből vagy Powershellből érhető el, és a Windows Server 2012 mellett a Windows 8-on is nagyon hasonló módon működik.
NTFS és ReFS újdonságok A fájlrendszer tekintetében egy nagyon figyelemre méltó változást is tapasztalhatunk a Windows 8 és a Windows Server 2012 esetén. Ez egy olyan újdonság amely a rendszerüzemeltetők életét igencsak megkönnyítheti, ugyanis a Microsoft teljesen újraírta a NTFS fájlrendszer esetleges hibáit javító mechanizmusokat és a hozzá tartozó CHKDSK segédprogramot. A fejlesztés révén a javítások egy részét online és a háttérban végzi el a rendszer (Online Analysis, Self-Healing), és ha esetleg ez nem sikerül, akkor erről értesítést és javaslatokat kapunk például a Server Manageren keresztül. De az új mechanizmusok munkája itt nem szakad meg, hiszen ekkor olyan előkészületeket tesz az operációs rendszer, hogy a tényleges javítás a következő újraindításkor legfejlebb 1-2 másodpercig tart majd, függetlenül a kötet méretétől vagy a vizsgált fájlok számától. Ezen kívül az új szerverben mutatkozik be egy új fájrendszer, a ReFS (Resilient File System), amely az NTFS alapjaira épül, és jelentős mértékben használhatóak vele az olyan képességek, mint a BitLocker, az ACL-ek, az USN journal, a szimbolikus linkek, a kötet árnyékmásolatok, a hibatűrő fürt támogatás és egyebek. A lemezhibákkal szemben szintén ellenálló, az összes önjavító újítást használja, valamennyi metadata és felhasználói adathibát észleli. Természetesen a Storage Spaces műveletekben is használható, sőt a ReFS ebben az esetben az NTFS-nél hatékonyabb ellenőrző és automatikus javítási módszerekkel rendelkezik.
Az SMB Transparent Failover támogatja egy fürtözött fájlszerver esetén a hálózati fájlmegosztást, mint a fürtözött alkalmazás tárolási lehetőségét. Ha hardveres vagy szoftveres hiba lép fel, vagy karbantartásra van szükség, az SMB kliensek nemcsak magas rendelkezére állással, hanem hibatűrő módon állnak át egy másik fürttagra, amely szintén probléma nélkül és folyamatosan elérést biztosítva képes használni a megosztásban lévő adatokat. Az SMB Scale Out a Cluster Shared Volumes (CSV) szintén új, azaz a 2.0-ás verziójában képes a megosztásokról szimultán elérést biztosítani, közvetlen I/O műveletekkel, a fürt összes csomópontján keresztül. A korábbi verzióban a CSV nem volt használható általános fájlszerver erőforrásként. Ez a rendelkezésre álló hálózati sávszélesség és a terheléselosztás magasabb szintű kihasználását teszi lehetővé, így javítva a szerver alkalmazások teljesítményét. Az SMB Multichannel képes az aggregált hálózati interfészek felhasználására, azaz például ha egy SMB kliens és szerver között kettő vagy több GB-os hálózati interfészt alkalmazunk, akkor a fájlmegosztásokról történő másolási műveletek is arányosan felgyorsulnak, illetve az interfészek konfigurációjától függően redundanciával is működhetnek. Az SMB Direct támogatja azokat a hálózati interfészeket is, amelyek rendelkeznek az RDMA képességgel és így nagyon kis erőforrás igénnyel hatalmas hálózati sávszélességgel képesek működni. További újdonság, hogy IPSec vagy bármilyen más szoftveres / hardveres segítség nélkül is használhatunk natív módon titkosítást az SMB kapcsolatoknál. Fontos tudni, hogy megosztás vagy szerver szinten konfigurálható az SMB Encryption, amely a nem megbizható hálózatok esetén kulcsfontosságú opció lesz. A teljesítmény-optimalizáció célját szolgáló SMB Directory Leasing segítségével jobb válaszidők érhetők el az SMB 3.0 klienseken, azaz a Windows 8 vagy a Windows Server 2012 gépeken. Ezt a felhasználók sebességnövekedésként élik meg.
Az ReFS a modern SATA szabványokkal viszont jobban lépést tart, és lényegesen jobban is skálázható. A maximális fájlméret 16 Exabyte, a maximális kötetméret 256 Zettabyte illetve például egy Storage Pool maximális mérete 4 Petabyte lehet. Kisebb hátránya viszont, hogy az eltávolítható eszközökön nem használható, illetve rendszerindítást sem lehet megvalósítani a ReFS-sel formázott lemezekről.
26
27
Aktív-aktív fájlszerver fürt
Offloaded Data Transfer
Az SMB 3.0 külön kiemelendő képessége a különböző szerver alkalmazások támogatása a Transparent Failover szolgáltatással.
A tárolóeszközök hardvergyártóival együttműködve, azok innovatív újdonságait beépítve, a Windows Server 2012 a nagyméretű fájlműveletek felgyorsítására egy olyan újdonságot használ, amit Offloaded Data Transfer-nek (ODX) hívunk.
Jelenleg két forgatókönyv szerint tudjuk kiaknázni ennek előnyeit. ●
Hyper-V over SMB, azaz a Hyper-V egy SMB 3.0 hálózati megosztáson tárolja a virtuális gépek állományait (az alap .vhdx-eket, a pillanképeket, a konfigurációs fáljokat). Ekkor az önálló vagy fürtbe szervezett Hyper-V gépek esetén is elérhető az aktív-aktív fájlszerver üzemmód, folyamatos működéssel, és egy hardver hiba esetén automatikus átállással.
●
SQL Server over SMB, azaz az SQL Server használata is támogatott, tehát fennáll a lehetőség az adatbázis állományok SMB 3.0 fájlszerveren történő tárolására, és ezzel a redundancia növelésére egy szimpla hálózati megosztás esetén - ugyanúgy mint pl. egy SAN tárolóval.
Ahhoz hogy ezeknél a szerver alkalmazásoknál használhassuk az SMB megosztást, az aktív-aktív fáljszerver alapjaként a host gépeken szükség van a VSS adapter engedélyezésére.
iSCSI Target Server Az iSCSI Targetet korábban a Windows Storage Server részeként, illetve a Windows Server 2008 R2-hez egy ideje ingyenesen letölthető kiegészítőként ismerhettük meg. A Windows Server 2012-ben viszont teljes mértékben integrált komponensként használhatjuk. Az iSCSI Target Server amellett, hogy dedikált, vagy éppen közös használatú tárolókkal egészítheti ki a hálózaton keresztül a szervereinket, hálózati rendszerindítással is képes akár nagyszámú számítógépet a rendelkezésünkre bocsájtani. Ehhez adott esetben összesen egy darab, központi helyen tárolt operációs rendszer lemezképre lesz csak szükségünk (ami egy sysprep-pel generalizált arany lemez-kép), amely a felügyeletet, a rendelkezésre állást és a biztonságosságot egyaránt alaposan megnöveli. Az akár százasával a hálózatról induló gépeink a testreszabáshoz diffenciális lemezeket használhatunk, így az összes gép működtetéséhez szükséges diszk kapacitást nagyon alacsony szinten tarthatjuk. Az iSCSI Target Server használata mellett nemcsak a géppark felépítése, hanem a kiesett gépek gyors visszaállítása is megoldható. Mivel az operációs rendszerhez tartozó adatok nem a helyi gépen tárolódnak, ezért a fizikai gép cseréje után azonnal kezdődhet a távoli rendszerindítás és az operációs rendszer beüzemelése, majd a használata.
Ez az együttműködés a operációs rendszer és a hardver között azt eredményezi, hogy az adatmásolás, a mozgatás és az összefűzés műveletek nagyon gyorsan, a szerver oldal erőforrásait (processzor, hálózat) nem terhelve, a tárolóeszköz hathatós segítségével, közvetlenül az eszközön valósulnak meg. A Windows Server 2012 SCSI parancsokkal irányítja és ellenőrzi az adott műveletet, mintegy távvezérelve a tárolóeszközt. A cél és a forrás terület egyformán lehet iSCSI, Fibre Channel, Fibre Channel over Ethernet vagy egy SMB fájlmegosztás. Felhasználási területe legalább kétféle lehet, egyik esetben olyan Hyper-V virtuális gépek esetén aknázhatjuk ki az előnyeit, amelyek fájlai ODX kompatibilis eszközön találhatóak. Ilyenkor virtuális SCSI vagy pass-through lemezekkel, illetve a natív .vhdx-ekkel operálhatunk, a virtuális IDE vezérlőkre kötött lemezekkel nem (és ebben az esetben a .vhdx-ekkel sem). A másik eset még egyszerűbb, nagyméretű vagy nagyszámú média- vagy éppen adatbázis fájlok másolása és mozgatás esetén lesznek látványosan gyorsak a fájlműveletek.
Fürtözés újdonságok A Windows Server 2012-ben a hibatürő fürtözés számos ponton erősödött, erre az első látványos példa a skálázhatóság. Az előző verzióval szemben immár a 16 csomópont helyett 64-et, az 1000 virtuális gép helyett pedig 8000-et vagyunk képesek maximum üzembe állítani fürtönként. A nagyméretű fürtök felügyelete a Server Managerből és a Failover Cluster Managerből is megoldható, illetve a PowerShellel kezelhető. A CSV2 (Clustered Shared Volume) használata is egyszerűbb lett, kibővített teljesítmény, biztonsági és fájlrendszer támogatási képeségekkel rendelkezik. Mivel már nem csak a Hyper-V szerepkörhöz használható, ezért egy a Scale Out típusú fájlszerver is nyújthat ezen keresztül folyamatos, magas rendelkezésre állást és hibatűrést a korábban említett módon például az egyszerű SMB 3.0 kliensek számára.
Ezeken túl fontos tudni, hogy az iSCSI Target Server Network Boot a nyilvánvalóan robusztus képességéihez képest, nem igényel nagyon különleges hardvert. A Microsoft belső, referencia tesztrendszerében 256 gépet 34 perc alatt sikerült elindítani, és ennek háttere 24 db 15k RPM-es lemez volt, RAID 10-be kötve, 10 GB hálózati sebesség mellett. A mérések szerint 60 db iSCSI szerver indításához még az 1 GB-es hálózati interfész is elegendő. A Hyper-V együttműködésben a kizárólag Windows Server 2012 Hyper-V esetén elérhető kiterjesztett virtuális gép monitorozás mellett, a Hyper-V Replica Broker is újdonság, amely feladata központilag kezelni a csomópontok replikációs engedélyeit és beállításait.
Cluster-Aware Updating Az új Server Managerből vagy a Failover Cluster Managerből egyaránt használhatjuk a teljesen új fürt-frissitési mechanimust, amely a nagy figyelmet igénylő patch management kérdést oldja meg hathatósan. A Cluster-Aware Updating segítségével automatikusan és egymás után, sorrendben frissíthetőek a csomópontok, a így elkerülhető a rajtuk futó szolgáltatások leállása és kiesése. Ehhez egy teljesen új felületet kapunk, ahol a teljes fürtre kiterjedő beállítások mellett (pl. időzítés és frissítési profil), előnézet, futtatási szabályok, jelentés generálás, priorizált sorrend és még számos egyéb beállítási opció elérhető.
28
29
Hálózat A Windows Server 2012 kapcsán a hálózat témakörben egyaránt találunk olyan teljesen új megoldásokat, mint a hálózati interfészek összefűzését lehetővé tevő immár integrált NIC Teaming, vagy a régi ismerős DHCP szerver fürt nélküli redundanciáját megvalósító DHCP Failover. További nagyon fontos és immár nélkülözhetetlennek tűnő újdonság az IP alhálózatok és hozzákapcsolódó szerver szerepkörök felügyeletét ellátó IP Address Management és természetesen a telephely-központ viszonylatban már ismert, de alaposan feljavított BranchCache képesség ismertetése sem maradhat ki.
NIC Teaming A NIC Teaming elnevezés (más néven Load Balancing and Failover, azaz LBFO) a Windows Server 2012 új, integrált képességét takarja, amely több hálózati interfész összekapcsolásást, egy csoportba (team) szervezéset jelenti. Két előnye is lehet egy ilyen műveletnek, először is a redundancia, azaz bármelyik interfész meghibásodása esetén a tartalék folyamatosságot biztosít, illetve a teljesítményfokozás, azaz az elérhető sávszélesség többszörözése. A korábbi Windows szerverek esetén beépített segítség híján a teaming-hez külső gyártótól származó szoftvert kellett használni. A Windows Server 2012-ben ez a lehetőség integrált, ráadásul hardverfüggetlen, azaz eltérő gyártóktól származó hálózati interfészek is csoportosíthatóak. A Windows NIC Teaming maximum 32 interfészt támogat, három különféle üzemmódban. ● ● ●
Static Teaming: A szerver hardver gyártók által általánosan támogatott módszer, amely használatához szükség van a hálózati switch konfigurálásra is. Switch Independent: Ebben az üzemmódban nem szükséges, hogy a team tagjai különböző switchekhez kapcsolódjanak. LACP (Link Aggregation Control Protocol): Más néven dinamikus teamingnek hívott, a legtöbb hálózati hardver gyártó által támogatott módszer, amely az LACP segítségével automatikus konfigurációt tesz lehetővé – amennyiben a switchen manuálisan beállítjuk a megfelelő portoknál az LACP támogatást.
DHCP Failover A Windows Server 2012 a közismert DHCP szerver tekintetében is hoz egy igen komoly változást, ez pedig a DHCP szolgáltatás redundánssá tétele, hibatűrő fürt nélkül, két közönséges DHCP szerver segítségével. A redundancia a hálózati infrastuktúra fontos tagjaként működő DHCP szervereknél is kulcsfontosságú, hiszen a DHCP hatókör beállításaitól függetlenül gyorsan vagy lassabban, de megszűnhet a kliens gépek automatikus, központi IP konfigurációjának lehetősége. Ez azt jelenti, hogy a kliensek elveszthetik minden kapcsolatukat a hálózaton keresztül elérhető erőforrásokkal, ami további súlyos problémákat okozhat.
IPAM Az IP Address Management egy teljesen új képesség a Windows Server 2012-ben és igazi erejét egy összetett hálózati infrastruktúra esetén mutatja meg. Egy olyan keretrendszerről van szó, amely felfedezi, ellenőrzi, auditálja és felügyeli a hálózatunkon az IP címtartományokat, illetve a DHCP és DNS szervereket. Segít az IP adatok nyilvántartásában, képes jelentéseket generálni a kihasználtságról, továbbá a szabad és foglalt IP blokkokról, mindezt az IPv4 és IPv6 platformon egyaránt. A Server Managerbe integrált IPAM konzolon láthatjuk az ös�szes DHCP szerver hatókörét, az összes DNS zónát, illetve az ezekkel kapcsolatos összes eseményt, amelyeket az NPS szerverekről illetve a tartományvezérlőkről is képes begyűjteni. Az így összegyűjtött adathalmazban lehetőségünk van keresni és nyomkövetést végrehajtani. Az IPAM az auditálást az álatlánosan elfogadott szabványrendszerekkel kompatibilis módon képes lefolytatni. Az IPAM 100 000 felhasználó esetén 3 évnyi adatot képes tárolni (IP címek, host MAC címek, felhasználók kilépése/belépése) az integrált Windows Internal Database-ben. Az IPAM egy komplex jogosultsági rendszerrel érkezik, azaz megkülönböztethetünk általános IPAM rendszergazdákat, IP rendszergazdákat, IPAM szerver rendszergazdákat, illetve szimpla felhasználókat (csak betekintési joggal) és audit felhasználókat.
BranchCache A BranchCache a web- és fájlszerverek telephely-központ viszonylatban történő elérését gyorsítja. A BranchCache bevezetésével egy telephelyi szerverrel (vagy enélkül is) van lehetősége a kliens gépeknek arra, hogy a központból letöltött fájlokat egymás között megosszák, azaz a legelső letöltést követően, már csak helyben, egy másik klienstől vagy a helyi BranchCache szerverről töltsék le. A Windows Server 2012 és a Windows 8 együttes használatával alaposan kibővültek a BranchCache lehetőségei: ● ● ●
A BranchCache képes natívan használni a szintén új Data Deduplication képességet, így még kevesebb adatot kell a lassú hálózaton átpréselni. A leendő gyorsítótárazott tartalom előkészítésére és a telephelyi BranchCache szerverre történő eljutattására (a kliens kérését megelőzően) új eszközök jelentek meg a Windows Server 2012-ben, illetve a gyorsítótárazott tartalom titkosítása már alapértelmezés szerint is erősebb biztonsági beállításokkal történik. Egyszerűsödött a megoldás bevezetése, például a telephelyenként külön-külön kötelező csoportházirend objetumok elhagyásával, a fájszerver szerepkörbe történő mélyebb integrálással, illetve az automatizmust is elősegítő új PowerShell parancsokkal.
Ha van egy aktív, illetve egy másik üresen telepített DHCP szerverünk, és engedélyezzük ezt a DHCP Failovert, akkor választanunk kell, hogy a rendelkezésre álló kétféle üzemmód közül melyiket szeretnénk bevezetni: ● ●
Aktív-passzív mód (másnéven Hot Standby), azaz egy elsődleges és egy tartalék DHCP szerverünk is lesz, amelyek egymást helyettesíthetik meghibásodás esetén. Ekkor a DHCP szolgáltatás automatikusan átáll a működő szerverre. Aktív-aktív mód (Load Balance), amikor a teljes hatókört felosztjuk százalékos formában (pl. a 80/20-as szabály értelmében), és mindkét DHCP szerver folyamatosan aktív.
Mindkét üzemmódban értelemszerűen egy kezdeti, majd később egy folyamatos replikáció is történik, amely titkosítható is, illetve az üzemmódok közötti váltás is megoldható. A szolgáltatás beállításhoz és konfiguráláshoz csak az egyik DHCP szerverre van szükség. A módszer továbbfejlesztett változata az ún. Multisite DHCP, amely elsősorban a telephelyi vagy több hálózatból álló infrastruktúra esetén előnyös. Itt a már ismert egyszerű Failover, valamint a „Hub and Spoke” vagy a „Ring” módszerekből választhatunk, amelyekkel a több, különböző hálózatban működő DHCP szerverek közötti partneri viszonyt definiálhatjuk.
30
31
Felügyelet és automatizmus A szerver operációs rendszerek felügyeleti újdonságai elsősorban az üzemeltetők számára bírnak óriási jelentőséggel. Az elvárások magasak, bárhonnan és bármivel elérhetőek legyenek a felügyelendő gépek, természetesen a grafikus felületről és parancssorból egyaránt. Legyen megfelelően informatív a felület a rendszerünk állapotáról, illetve a hétköznapi feladatokat ne kelljen számos alkalommal egymás után elvégezni, hanem azokat képesek legyünk automatizálni.
Emellett a pool gépeiről vagy az adott csoport szervereiről rengeteg egyéb információhoz juthatunk, illetve az adott szerver helyi menüjéből számos műveletet végezhetünk el, például: leállítás, Remote Desktop, PowerShell indítás, a Computer Management MMC, vagy éppen a tartományvezérlőkön az ADSIEdit futtatása, vagy olyan újdonságok is, mint az új és integrált NIC teaming varázsló indítása.
Annak érdekében, hogy ezeknek az igényeknek az operációs rendszer minél inkább meg tudjon felelni, a Windows Server 2012-ben jelentősen megváltozott a Server Manager, és így egyszerűbbé vált a szervereink együttes felügyelete, a komponensek telepítése. Ezen felül megismerkedhetünk új felület telepítési módszerekkel, és a Powershell 3.0 is jelentkezik jópár újdonsággal.
Az új Server Manager A Server Managerben alapvető felületi változások kerültek bevezetésre. Az új, vagy alaposan megváltozott szerepkörök (például az IPAM vagy RDS/VDI) már csak és kizárólag az új Server Managerből érhetőek el, de a korábbi MMC bővítmények is folyamatosan megkapják Server Managerből elérhető párjukat. Szerencsére ezeket az újdonságokat könnyű megszokni, hiszen az új felület jól áttekinthetővé vált, és az alkalmazási lehetőségei is jelentősen bővültek.
Szerepkörök és képességek telepítése A szerepkörök és képességek teljesen rugalmas és távoli telepítése szintén elérhető az új Server Manageren belül, azaz ezen a területen is történtek komoly változások, kezdve azzal, hogy a szokásos telepítés módszer mellet, egy egy komplexebb, több szerepkörös forgatkönyv telepítése is megtörténhet egy lépésben (erre jelen pillanatban csak egy példa van, az RDS/VDI). A rendelkezésre álló több szerveres támogatás miatt bármely szerverre telepíthetünk tetszőleges komponenseket (például. az egyik tartományvezérlőről egy másikat is létre tudunk hozni), illetve akár egyszerre is telepíthetünk szerepköröket és képességeket, az azonnali újraindítás szüksége nélkül. Fontos újdonság az is, hogy az előfeltételeket alaposan ellenőrzi a Server Manager, és adott esetben felajánlja, hogy ezeket biztosítja, azaz például hogy egy új Windows Server 2012-es tartományvezérlő telepítésekor a séma preparálás és a tartomány/erdő működési szint emelése is megoldható ugyanitt, egy menetben.
Az új Server Manager a később külön kiemelt képésségeken kívül is komoly lehetőségeket ad az üzemeltetők kezébe, többek között a testreszabás tekintetében. A teljes Dashboard tartalma és riasztásai konfigurálhatóak, az eseménynapló lekérdezések részletei szintén, ahogyan a teljesítmény adatok (CPU, RAM, frissítési periódus) és a nem releváns BPA események ritkítása is szabályozható az üzemeltető elvárásai alapján.
Említésre méltó az a változás is, hogy egy telepítési folyamat végén mindig lesz egy export opció (hogy legközelebb ne kelljen még ennyit sem kattintgatni), illetve egy automatikus újraindítrási lehetőség – azaz bátran ott lehet majd hagyni a gépet, ha szükséges, automatikusan újraindul. A teljes befejezést sok esetben követhette eddig is egy indító konfigurálás (pl. egy DHCP vagy CA szerver esetén), ez most is így van, viszont félretehetjük és később bármikor folytathatjuk, a Dashboard erre szintén grafikus formában figyelmezteti majd az üzemeltetőt.
Több szerver felügyelete Az új Server Manager nagyon egyszerűen, ám mégis sokoldalúan teszi lehetővé több szerver felügyeletét. A kiépítés folyamata során egy server poolt kialakítva, egyszerűen tudunk felvenni más szerver számítógépeket a címtárból, DNS segítségével, vagy éppen egy import művelettel. A jobb átláthatóság érdekében sok szerver esetén tetszőleges szerver csoportokat is definálhatunk a Server Manageren belül. A server pool és a csoportok tagjai egyaránt lehetnek fizikai vagy virtuális gépek, illetve helyben, vagy felhőben lévő szerverek. Akár eltérő erdőből vagy tartományból is választhatunk szervereket, mivel rendelkezünk egy „Manage As…” opcióval is, amivel eltérő jogosultsági kontextust is megadhatunk, sőt, akár a korábbi szerver operációs rendszerekre (Windows Server 2008 és R2) is kiterjeszthetjük ezt a lehetőséget. Ha már több szervert felügyelünk Server Managerrel, akkor következhet az állapotinformációk és beavatkozási lehetőségek megismerése. Az új felületen a System Center felügyeleti eszközökhöz hasonló funkciók köszönnek vissza. A Server Manager a fejlécben különböző színű zászlók formájában jelzi a rendszer egészében fennálló problémákat. Ha például megnyitunk egy ilyen riasztást, akkor hamar kideríthetjük, hogy a különböző gépeken összesen hány rendszerszolgáltatás áll. Természetesen be is avatkozhatunk, azaz ezeket a szolgáltatásokat azonnal és egyszerre el is indíthatjuk. Ha a manőver sikeres volt, erről újra kapunk egy grafikus jelzést a Dashboard fejlécében.
32
33
Core / Minimal / Full telepítés A Windows Server 2008-tól kezdve megismerhettünk egy teljesen új telepítési változatot, a Server Core-t, amelyet a grafikus felület nélkül (Explorer, MMC, IE, Shell, stb.), de a legfontosabb szerepköröket és képességeket tartalmazva használhattunk. A konzolról csak parancssorból elérhető szerver változat erőforrás takarékoskodást, biztonságosabb működést és kisebb felügyeleti igényt hozott magával.
Azonosság- és hozzáféréskezelés Ebben témakörben elsősorban a bármely szervezet esetén kulcsfontosságú Active Directory infrastuktúra elemeivel foglalkozunk. Az AD összetevőivel skálázható, rugalmas, biztonságos, központilag szabályozható és felügyelhető rendszert építhetünk fel a felhasználók és az vállalat erőforrásainak kezelésére, illetve az AD szolgáltatásait és komponenseit is használó egyéb szerver szolgáltatások (például Exchange Server, SQL Server, System Center) számára. Az AD DS telepítésének változásai, vagy az AD Administrative Center bővülése sokat segíthetnek a korrekt üzemeltetésben, ahogyan a Hyper-V-vel támogatott AD virtualizáció vagy a tartományvezérlők egyszerű klónozása is. De nem feledkezhetünk meg a Csoportházirend újdonságokról sem, és az olyan teljesen új szolgáltatásokól sem, mint a mennyiségi licenszelés felügyeletét lehetővé tevő AD Based Activation, vagy a forradalmain új és robusztus Dynamic Access Control szolgáltatás.
AD DS telepítés és migráció Az Active Directory Domain Services, azaz a klasszikus cimtárszolgáltás a vállalati informatikai rendszerek alappillérének számit. Éppen ezért a Windows Server 2012-ben – az eddig gyakorlattal szemben, – egyetlen helyen, a Server Managerben egyesül minden olyan eszköz és opció, amely a címtárszolgáltatás alkotóelemeinek bevezetésével, frissítésével és migrációjával kapcsolatos.
Mindeddig azonban hiába lett volna szükség a teljes grafikus felületre, egy Server Core telepítésű gépre eddig nem lehetett azt feltenni, illetve fordított irányban sem élt a lehetőség az eltávolítására. A Windows Server 2012-ben viszont ez a helyzet megváltozott, azaz három állapottal is rendelkezünk, amelyek a következőek: 1. Server Core felület – Az operációs rendszer telepítésnél ez az alapértelmezett mód, gyakorlatilag csak parancssort kapunk a helyi szerveren, de GUI-val rendelkező gépekről grafikus eszközökkel is felügyelhetjük. 2. Minimal Server Interface: A köztes állapot, azaz az Internet Explorer, a Desktop, a Windows Explorer, a Windows 8 stílusú alkalmazások, a multimédia támogatás és a Desktop Experience képesség nélküli változat. Van viszont Server Manager, és minden grafikus felügyeleti eszköz helyben elérhető. 3. Teljes grafikus felület. A felületváltáshoz szükségünk lesz a DISM eszközre, PowerShell-re, az adott gépre bemásolt telepítő csomagra, és egy újraindításra is. Fontos tudni azt is, hogy a két lépcsőben hozzáadott grafikus felület el is távolítható, a Server Managerben „Server Graphical Shell” és „Graphical Management Tools and Infrastructure” néven találjuk meg ezeket az összetevőket.
PowerShell 3.0 A PowerShell-alapú automatizáció gyakorlatilag már mindenre kiterjed a Windows számítógépek platformján. A felügyelet, a konfigurálhatóság és az automatizmus gyakorlatilag az operációs rendszer és minden egyéb szerver szoftver esetén rendelkezésre áll a PowerShellen keresztül is, sőt a finomabb beállítások néhány esetben csak és kizárólag ezen keresztül érhetőek el. A Windows Server 2012-be a PowerShell 3.0 verziója került, amely a szintén új Windows Management Framework 3.0 keretrendszerre épül. Új cmdlet-ek százait tartalmazza, és többek között olyan újdonságokat is, mint a háttérban futó időzített feladatok kezelése (Scheduled Jobs), vagy a megváltozott PS Session kezelés. De olyan újdonságokat is megismerhetünk, mint a Show-Command parancs amely egy PowerShell ISE-vel rendelkező gépen, a PS parancssorból is képes egy grafikus felületen bemutatni az adott parancs kapcsolóit és paramétereit, sokkal látványosabb segítséget nyújtva az egyszerű, de sokszor követhetetlen get-help parancsnál.
Ilyen szolgáltatás például egy új tartományvezérlő telepítése, amelyhez eddig a DCPromo.exe segédprogramot használtuk, ami viszont megszűnt az új operációs rendszerben. Immár tehát nemcsak a bináris állományok telepítése történik a Server Managerből, hanem a teljes folyamat. Ez és a Server Manager újdonságai olyan további kényelmes megoldásokat adnak az üzemeltetők kezébe, mint az egy helyről, egyetlen gépről történő tartományvezérlő telepítés, teljes megfelelés-ellenőrzés vizsgálattal, még a telepítés előtt. Továbbá, egy új verziójú tartományvezérlő esetén, nem kell külön gondoskodnunk az ADPrep.exe-vel a séma frissítésről, az automatikus ellenőrzés során kiderül, hogy van-e rá szükség, és ezek után lesz lehetőségünk a folyamat részeként ezt a műveletet a Server Managerből elvégezni. Hasonlóan járhatunk el az erdő vagy a tartomány működési szintjének emelése esetén is. Az AD DS szerepkör telepítése teljes mértékben PowerShell alapon is működhet, és ehhez segítséget kaphatunk a grafikus felületről is, hiszen a művelet végén lehetőségünk van az alkalmazott PS parancsok exportálására.
AD Administrative Center Az Active Directory Administrative Center (ADAC) a Windows Server 2008 R2-ben mutatkozott be egy központi felügyeleti konzolként, sok szempontból kiegészítve az eddig meglévő AD MMC-ket, illetve jópár szempontból helyettesítette is azokat. Az ADAC PowerShell alapú, webszolgáltatásként működő megoldás, ami a Windows Server 2012-ben gazdagon kibővült további képességekkel. Belekerült például az Active Directory Recycle Bin, azaz a Lomtár, amely az előző verzióban csak PowerShellel, illetve külső szoftverekkel volt elérhető. Szintén bekerült a Fine-Grained Password Policy, azaz az alternatív jelszó házirendeket is nagyon egyszerűen és gyorsan el tudjuk készíteni az ADAC-ból. Emellett kaptunk teljesen új eszközöket is, hiszen most debütál az ún. Windows PowerShell History Viewer is. Ennek segítségével ha az ADAC-ban bármilyen műveletet végzünk, azt online módon, folyamatosan görgetve láthatjuk a Windows Powershell History ablakkeretben. Ennek használatával a PowerShell parancsok elsajátítása, illetve a szkriptek írása lényegesen könnyebbé válik.
Szintén újdonság a PowerShell Web Access, amely feltelepítése esetén böngészőből, egy webes felületen keresztül, akár az Internetről érkezve is elérhetjük az adott szerveren futó PowerShell konzolt, felügyeleti célokból.
34
35
AD virtualizáció
Csoportházirend újdonságok
A tartományvezérlőinket (Domain Controller, DC) virtualizáljuk már jó pár éve, de fenntartásokkal. A problémás körülmények közé tartozik a Hyper-V időszinkronizálás, az export és a másolás, illetve a pillanatfelvételek (snapshotok) használata. De az igazi gondot az ezekből történő helytelen visszaállítás okozza. A nem megfelelő állapotú DC visszaállítása a tartományvezérlők között komoly replikációs problémákat, USN és RID Pool zűrzavart, azaz sérült objektumokat, inkonzisztens jelszavakat és attribútumokat, duplikált SID-eket és esetleg egy visszaállítás esetén akár nagyon fájdalmas séma hibákat is előhozhat.
A Windows Server 2012 csoportházirendben az új operációs rendszerekkel érkező számos új opció lekövetése mellett a változások elsősorban az összetett csoportházirend infrastruktúra működési állapotának nyomonkövetésére és a hibaelhárításra koncentrálnak. Ezt a célt szolgálja a Remote Group Policy Update megoldás, amely a GPMC konzolról indítva képes azonnal frissíteni a kliens állapotát, azaz egy távoli gpupdate parancsot hajt végre. Ezen kívül a Group Policy Results több információval szolgál, és szervezettebb formában képes ezeket elérhetővé tenni.
Éppen ezért a Windows Server 2012 a virtualizált tartományvezérlők esetén egy újdonság bevezetésével próbálja megoldani ezeket a gondokat, ez pedig az ún. „VM GenerationID”, ami egy speciális azonosító. Így amikor egy pillanatfelvétel készül vagy amikor egy VM másolás történik, akkor a Hyper-V ezt az azonosítót mindig megváltoztatja. A replikáció megkezdése előtt vagy egy újraindítás során összehasonlításra kerül ez az azonosító a címtárban korábban, azaz például a pillanatfelvétel előtt eltárolttal. Ha nincs egyezés, akkor a tartományvezérlő adatbázis példányának verziószáma és pl. a RID Pool resetelődik, így minden adat megmarad és nem lesz árva objektum sem. Ebből az látszik, hogy a hypervisor és a tartományvezérlők működése tökéletesen össze lett hangolva, így most már valamennyi virtualizáció adta képességet (mentett állapot, pillanatfelvétel, stb.) bátran ki lehet használni a tartományvezérlőkön is. Viszont ez a fajta védelem csak akkor áll rendelkezésre, ha a virtuális tartományvezérlőt Windows Server 2012 Hyper-V segítségével virtualizáljuk, mivel a Generation ID kezelés a Hyper-V tudástárába tartozik.
A virtualizált DC klónozása A Windows Server 2012-ben élhetünk egy olyan új lehetőséggel, amely segítségével egy már működő virtuális tartományvezérlőt klónozással megkettőzhetünk – a tartományon belül. Így korábbi megoldásokkal szemben nagyon egyszerűen és gyorsan tudunk további tartományvezérlőket csatasorba állítani. A virtualizált DC klónozáshoz alapfeltétel, hogy a PDC FSMO szerepek Windows Server 2012 szerveren legyenek elérhetőek. A folyamat egy komplett .vhd/.vhdx export/import, vagy egyszerű másolás művelettel kezdődik, majd utána egy konfigurációs fájl legyártásával folytatódik, amelyet az előléptetéshez használunk. Ezt akár kézzel, akár automatikusan feltöltött adatokkal (például név, IP cím, alhálózat, DNS szerverek adatai) is megoldhatjuk, és ezen kívül egy olyan .xml fájl legyártása is szükséges, amelyben az eredeti tartományvezérlőn futó, de nem klónozható szolgáltatások (például DHCP, Print Management Console) megjelölése történik meg. Az eddig felsorolt lépések elvégzésén túl nincs már szükség sysprepelt lemezképre, telepítésre, előléptetésre sem. Ezek után az új virtuális gép a rendszerindítás során előlépteti önmagát, és elkezd szabályosan, tartományvezérlőként működni.
Active Directory Based Activation A Windows Server 2012 megjelenéséig a Windows és az Office termékek mennyiségi licencelésének központi adminisztrációjához és az aktiváláshoz tipikusan egy parancssori, VB szkriptekkel dolgozó megoldásra, a Microsoft Key Management Service-re (KMS) volt szükség. Azonban ez egy kissé bonyolult megoldás, amely adott esetben a külső hálózatból nehézkesen vagy egyáltalán nem elérhető módon, és a szűkkörű hitelesítési megoldásokkal ellátott RPC protokollt igényelte a működéséhez. Így a KMS szerverrel történő fizikai kapcsolat hiányában többnyire alternatív megoldást kellett keresni az offsite gépek esetére is (retail kulcs, MAK, stb.).
Emellett egy új, a GPM konzolban használható ellenőrzési lehetőséget is kapunk, a már jó ideje nem támogatott, még a Windows 2000 Server és a Windows Server 2003 esetén használatos GPOTool eszköz helyett. Ez az eszköz számtalan hiányosságokkal bírt, de mégis volt egy komoly előnye: a tartományvezérlőkön lévő, adott esetben jelentős mennyiségű GPO állapotával kapcsolatban végezhettünk el egyszerűen ellenőrzést. Az új Group Policy Infrastructure Status eszköz viszont egy alapos és pontos megoldás, amellyel nyomban kiderül, hogy minden a csoportházirenddel kapcsolatos elem, (replikáció, fájlok hash-e, mennyisége, az ACL-ek, a GPT verziók, stb.) rendben van-e – minden egyes tartományvezérlő esetén. A grafikus felületen azonnal beazonosítható ha ez nem így van, és az is, hogy mivel és melyik tartományvezérlőn van probléma. Így a csoportházirenddel kapcsolatos problémák hibakeresése és javítása lényegesen egyszerűbbé és gyorsabbá válik.
Dynamic Access Control A Windows Server 2012-ben, egy forradalmi – de elsősorban a nagyvállalatoknak szánt – új, központosított erőforrás hozzáférési és auditáló mechanizmus is bemutatkozik, a Dynamic Access Control (DAC). Elsődleges működési területe a fájlszervereken tárolt megosztások tartalma, azonban az eddigi megosztási és NTFS jogosultsági rendszer kiegészítőjeként alkalmazhatjuk. Ha például egy olyan komplex jogosultsági struktúrát kell létrehoznunk ahol országonként, országok alatt osztály bontásban, osztályok alatt érzékeny / nem érzékeny bontásban kell kialakítani egy jogosultsági rendszert, akkor 50 ország és 20 osztály esetében 50*20*2 = 2000 csoportot kell létrehozni és felügyelni. Ez a DAC-al ha adott esetben 71 csoport (50+20+1) vagy ha még ügyesebbek vagyunk, akkor 0 csoport mert az ún. az eszközökhöz vagy a felhasználói fiókokhoz rendelt claim-ekkel is megoldható. Tehát a DAC-cal kevesebb biztonsági csoporttal, rugalmasabb jogosultság kezelést érhetünk el. A Dynamic Access Control a következő komponenseket használja: ● ● ● ●
File Classification infrastruktúra: A Windows Server 2008 R2-ben már megismert megoldás, azaz a fájlok megjelölése manuális vagy automatikusan besorolási, osztályozási jellemzőkkel, akár több fájlszerverre is kiterjesztve az automatizmust. Kiegészülhet a felhasználók által elvégzett manuális fájl megjelölésekkel is. Központi házirendek alapján kontrollálható, hogy ki, honnan, és milyen típusú fájlokhoz férhet hozzá, a besorolási jellemzőket plusz a felhasználó / eszköz adatait alapul véve. A Kerberos hitelesítési mechanizmus hatóköre kiegészült az ilyen megjelölések figyelembe vételével. Auditálható a fájlokhoz történő hozzáférés szintén a központi, kifejezés alapú audit házirendek segítségével. Alkalmazható a Rights Management Services (RMS) védelem, azaz pl. automatikus RMS védelmet kaphatnak a szenzitívként besorolt Office dokumentumok – akkor is, ha már nem a fájlszervereken vannak.
A Windows Server 2012-ben ehhez a feladathoz a meglévő AD infrastruktúrát is használhatjuk (beleértve a RODC-ket), külön szerver igény nélkül, az LDAP protokollt alkalmazva. Bármelyik új szerverünk lehet mennyiségi licenc kiszolgáló, amelyre a Server Managerben feltelepítettük az új Volume Activation Services komponenst (ami egyébként egy klasszikus KMS szerverként is képes működni), illetve az új Volume Activation eszközt az RSAT (Remote Server Administration Tools) részeként is használhatjuk egy kliens számítógépről. Fontos tudni, hogy a kliensek közül jelenleg ez a módszer csak a Windows 8-cal és a Windows Server 2012-vel kompatibilis, illetve előfeltétel a Windows Server 2012 AD séma (de egy tartományvezérlő nem). Azonban nincs akadálya annak, hogy továbbra is használjuk a KMS-t a parancsssorból, illetve a Volume Activation Management Tool (VAMT) eszközt – kiegészítve az AD BA szolgáltatást.
36
A DAC használatával tehát egy alternatív jogosultsági rendszert építhetünk fel, sokkal több automatizmussal, érthetőbb és követhetőbb besorolási és hitelesítési metódusokkal, illetve magasabb fokú, automatikus információ védelmi megoldással támogatva. Fontos tudnunk, hogy egy fájlon a klasszikus jogosultsági rendszer (pl. egy lokális Discretionary ACL) és a DAC jogosultságok kiértékelése során ugyanúgy a „szigorúbb nyer” elv működik, mint az megosztások és az NTFS jogosultságok esetén.
37
A Windows Server 2012 licencelése
Ezek a szabályok egyben azt is jelentik, hogy egy magas rendelezésre állású fürt tervezésekor mindig figyelembe kell vennünk, hogy egy vagy több fizikai szerver leállásakor a leállás kapcsán érintett virtuális gépek mely fizikai szerverekre költöznek át – hiszen ebben az esetben ezeken a szervereken annyival több virtuális licenccel kell rendelkeznünk, hogy valamennyi átköltöző virtuális gép elindulhasson az új helyén is. Amennyiben Datacenter licenceket rendelünk a fizikai szerverekhez, akkor nincs szükség a licencek számolására, hiszen korlátlan virtuális gépre kapunk jogosultságot.
A Windows Server 2012 változatai Jelentősen egyszerűsödött a Windows Server 2012 licencelése, ami elsőként az elérhető termékváltozatok számának csökkenésében érhető tetten. Megszűnt a korábbi verziókban megismert Enterprise, Web és HPC változat, valamint a Small Business Server termékcsalád is. A Windows Server 2012 négyféle változatban érhető el: ezek a Datacenter, a Standard, az Essentials és a Foundation változatok.
A Windows Server licencelése nem függ attól, hogy milyen virtualizációs réteg található a virtuális operációs rendszerek és a fizikai szerver hardvere között – akár Hyper-V, akár más megoldást használunk, a Windows Server licencelésére ugyanezek a szabályok alkalmazandóak.
Ügyfél-hozzáférési licencek (CAL-ok)
Termékváltozat
Window Server 2012 Datacenter
Windows Server 2012 Standard
Windows Server 2012 Essentials
Windows Server 2012 Foundation
Felhasználási terület
Nagy sűrűségű virtualizációhoz
Alacsony sűrűségű virtualizációhoz, vagy fizikai gépekhez
Felhővel összekapcsolt kisvállalati szerver
Irodai szerver mikrovállalkozások számára
Lefedett processzorok száma
2 processzort fed le
2 processzort fed le
1 szervert fed le, és legfeljebb két processzort támogat
1 szervert fed le, és legfeljebb egy processzort támogat
Virtualizációs jogok
Korlátlan virtuális gép futtatásának joga
2 virtuális gép futtatásának joga
Virtuális környezetben futtatható, de gazdagép nem lehet
Nem virtualizálható és nem lehet gazdagép sem
Maximum felhasználók száma
Korlátlan (CAL függvényében)
Korlátlan (CAL függvényében)
25, a CAL-okat a szerverlicenc tartalmazza
15, a CAL-okat a szerverlicenc tartalmazza
Funkcionalitás
Teljes
Teljes
Korlátozott
Korlátozott
A Windows Server 2012 Essentials és a Foundation kifejezetten kisvállalatok számára lettek kialakítva, ezért kedvező áron, ámde korlátozott funkcionalitással érhetőek el. A Windows Server 2012 Essentials a korábbi Small Business Server 2011 Essentials utóda, viszont a Small Business Server Standard és Premium változatok esetében (amik beépítetten tartalmaztak Exchange Servert, illetve a Premium az SQL Servert is) nem készült már 2012-es, új változat. A Windows Server 2012 Standard és Datacenter változatok a termék összes képességével rendelkeznek, a Standard most már az összes, korábban Enterprise változatban elérhető funkciót is megkapta. Mindkettő egyaránt processzor + CAL alapon licencelhető (a magok számától függetlenül), és egy szerverlicenc két processzorra elegendő. Amennyiben kettőnél több processzor található meg egy adott szerverben, akkor valamennyi processzort le kell licencelni Windows Server licencekkel. Két processzor esetében egy, négy processzor esetében kettő, hat processzor esetén három Windows Server licencre lesz szükség. A legfontosabb különbség a Standard és a Datacenter változat között a futtatható Windows Server virtuális gépek számában találaható. A Standard változat kettő, a Datacenter változat korlátlan virtuális gép futtatására ad lehetőséget. Csakúgy, mint a processzorok esetében, ha Windows Server 2012 Standarddal rendelkezünk, akkor kettőnél több virtuális gép futtatása esetén további Windows Server 2012 Standard licenceket szükséges az adott hardverhez rendelni. Két virtuális gépnél összesen egy, négy virtuális gépnél kettő, hat virtuális gépnél pedig három Windows Server 2012 Standard licencre lesz szükség.
Virtualizációs jogosultságok A Windows Server licencek minden esetben a fizikai szerverhez és a fizikai processzorokhoz kötődnek, azonban tartalmaznak virtualizált gépek futtatásához szükséges licenceket is. Az alapszabály az, hogy legfeljebb annyi virtuális gép futtatható egy adott fizikai szerveren, amennyit a hozzá rendelt licencek lehetővé tesznek. Tehát amennyiben két Windows Server 2012 Standard licencet rendeltünk egy adott fizikai szerverhez, akkor azon semmilyen esetben sem jelenhet meg négynél több futó Windows Server virtuális gép.
A Windows Server 2012 haszálatához szükség van ügyfél-hozzáférési licencekre (Client Access License = CAL) is minden olyan eszközre vagy felhasználóra, akik a Windows Server 2012 bármely funkcióját igénybe veszik. Ez alól kivétel a webszerver funkció, ahol a Windows Server 2012 esetében akár anonim, akár autentikált felhasználókat szolgálunk ki, már nem szükséges CAL-okkal rendelkeznünk. Nem csak akkor szükséges CAL-lal rendelkeznünk, ha használunk Active Directory címtárat, és az adott eszköz vagy felhasználó benne is van a címtárban: a CAL-ra az Active Directorytól függetlenül, a szerverfunkciók használata miatt szükség van. Az Essentials és a Foundation kiadásoknál a CAL-ok már a termék szerves részét képezik, de Standard és Datacenter verzióknál ezzel is külön foglalkozni kell. A Windows Server CAL-ok egy adott Windows Server verzióhoz tartoznak, így nem csak a szerverből, hanem a CAL-okból is friss verziójúval kell rendelkeznünk ahhoz, hogy az új funkciókat és az új operációs rendszert használhassuk. Ez azt jelenti, hogy a Windows Server 2008 és 2008 R2 CAL-ok megléte nem elegendő ahhoz, hogy Windows Server 2012-es szervereket használjunk, ahhoz Windows Server 2012-es CAL-ra lesz szükség.
Verziókövetés meglévő frissítési garanciával (SA) rendelkező ügyfelek számára Azok az ügyfelek, akik érvényes frissítési garanciával rendelkeznek, meglévő Windows Server 2008 R2 licenceiket és CAL-jaikat azonnal átválthatják Windows Server 2012-es verziójúakra.Az átváltás szabályai az alapján kerültek kialakításra, hogy egyetlen frissítési garanciával rendelkező ügyfelünk se kapjon kevesebb virtuális jogosultságot, vagy csökkentett funkcionalitást, mint ahogy korábban a rendelkezésére állt. Akinek viszont korábban Windows Server 2008 R2 Standard licencei voltak, most azáltal, hogy megkapja a Windows Server 2012 Standard licencet, rögtön duplázódik a virtualizációra használható jogosultsága, és megkapja a Windows Server 2012 összes képességét, azokat is, amik korábban csak az Enterprise változatban voltak elérhetőek.
Downgrade jogok Amennyiben Windows Server 2012 licenccel rendelkezünk, lehetőséget kapunk arra is, hogy akár korábbi verziókat is használhassunk fizikai vagy virtuális szervereinken. A Datacenter változatból gyakorlatilag a korábbi verzió bármelyik változatára válthatunk, a Standard esetében pedig nem csak Standardra és Essentialsra, hanem akár Enterprise változatra is átléphetünk. Fontos tudni, hogy downgrade esetén is már az új virtualizációs jogosultságok érvényesek a korábbi verzióval feltelepített operációs rendszerekre, vagyis ha egy Windows Server 2012 Standardot Windows Server 2008 R2 Enterprise-ra downgradelünk, akkor is csak két virtuális gép jogosultságot kapunk hozzá. Nem csak a szerver licencekre, hanem a CAL-okra is érvényes a downgrade jog: a Windows Server 2012-es CAL-ok lehetőséget adnak a korábbi, így például Windows Server 2008 R2-es szerverek elérésére és használatára is.
A Windows Server licenceket nem lehet egyik fizikai szerverről a másikra tetszés szerint mozgatni, ahogy a virtuális gépek mozgatása adott esetben megkívánná. OEM esetében egyáltalán nem, míg mennyiségi licenc esetében 90 napnál nem gyakrabban helyezhetjük át Windows Server licenceinket egyik fizikai szerverről a másikra. Amennyiben viszont elegendő licenccel rendelkezünk egy adott fizikai szerveren, akkor azon tetszőlegesen jelenhetnek meg akár különféle típusú (OEM vagy mennyiségi licenc) Windows Server virtuális gép példányok is, tehát a licencek beszerzési forrásától függetlenül tudjuk mozgatni a virtuális gépeket az elérhető fizikai szerverek között.
38
39
A Windows Azure egy nyílt és rugalmas felhőplatform, amely lehetővé teszi a vállalati informatikai környezet nyilvános felhőbe történő kiterjesztését, valamint felhőalkalmazások gyors létrehozását, bevezetését és felügyeletét. Az alkalmazások bármilyen programozási nyelven, eszközzel és keretrendszerrel elkészíthetők, a meglévő alkalmazások és virtuális gépek migrálhatók, a felhőben kialakított rendszer pedig biztonságosan összekapcsolható az ügyfél meglévő informatikai környezetével. A Windows Azure a Microsoft felhőstratégiájának egyik alapvető összetevője. Ugyanazt a szerepet tölti be a nyilvános felhőben, mint amit a Windows Server és a Hyper-V a privát felhőben. Ugyanolyan technológiai megoldásokat használ, mint a vállalati adatközpontok üzemeltetői és a hagyományos üzleti alkalmazások fejlesztői.
Identitás
A Windows Azure Active Directory képes a vállalati Active Directoryval való együttműködésre, de további, a felhőben elterjedt identitáskezelő megoldásokat is támogat (OrgID, Microsoft Account/Live ID, Facebook, Gmail, Yahoo).
Virtualizáció
A Windows Azure is a Hyper-V technológiára épül, a vállalati adatközpontban és az Azure-ban futó virtuális gépek felcserélhetők.
Felügyelet
A Windows Azure menedzselhető PowerShell szkriptekkel, és beilleszthető a System Centerrel felügyelt vállalati környezetbe.
Fejlesztés
A Windows Azure-alkalmazások ugyanolyan Microsoft- és nem Microsoft-fejlesztőkörnyezetekkel, programozási nyelveken és köztes technológiákkal készülnek, mint a hagyományos kiszolgáló alkalmazások.
A következő szervert már a felhőből bérlem! 41
Nyilvános felhő
A Windows Azure képességei
A nyilvános felhő a Windows Azure esetében a Microsoft által menedzselt, globális adatközpontokban futó szolgáltatásokat jelenti. Valamennyi jelentős földrajzi-gazdasági régióban találhatók adatközpontok: az Európai Unión belül Írországban és Hollandiában, az Egyesült Államokban négy helyen, a Távol-Keleten pedig további két helyen.
A Windows Azure-ral sokféle feladatot elláthat a vállalat. Íme a legfontosabbak:
A Windows Azure olyan előnyöket biztosít, amelyek a hagyományos vállalati adatközpontokban nem, vagy csak jelentős költségek árán valósíthatóak meg. Néhány ezek közül:
Mindig rendelkezésre áll
A Windows Azure szolgáltatástípustól függően 99,9%-os vagy 99,95%-os szolgáltatási szintet nyújt, s ezt a Microsoft anyagi garanciával támogatja. Így lehetővé válik magas rendelkezésre állású szolgáltatások és alkalmazások készítése és futtatása, az Azure pedig biztosítja és automatikusan felügyeli az ehhez szükséges infrastruktúrát.
Nyílt
Felhőszolgáltatások
Új üzleti és fogyasztói felhőalkalmazások készítése, meglévő alkalmazások kiegészítése. A Windows Azure segítségével magas rendelkezésre állású, skálázható alkalmazások és szolgáltatások hozhatók létre, amelyek egy gazdag felhőplatformra támaszkodnak. Az alkalmazások többszintűek, automatikusan bevezethetők, rugalmasan átméretezhetők, és a világ bármely pontján lévő ügyfelek számára elérhetők.
Virtuális gépek
Infrastruktúra az ügyfél igényei szerint. A Windows Azure-ban egyszerűen, percek alatt létrehozhatók és futtathatók Windows Server- és Linux-alapú virtuális gépek. A vállalat adatközpontjában futó rendszerek a kód megváltoztatása nélkül átvihetők a felhőbe. A vállalati hálózat és a felhő között biztonságos hálózati kapcsolat építhető ki.
A Windows Azure-ben bármilyen programozási nyelv, keretrendszer és fejlesztőeszköz használható. A szolgáltatások nyílt szabványokra épülő protokollok segítségével vehetők igénybe, a Windows Azure ügyfél oldali összetevői minden gyakori operációs rendszeren elérhetők, forráskódjuk pedig nyilvános.
Webhelyek
Gyakorlatilag végtelen
A Windows Azure segítségével az alkalmazások tetszés szerint skálázhatók. A bevezetés percek alatt kész, az erőforrások mennyisége rugalmasan növelhető és csökkenthető. Csak az alkalmazás által ténylegesen használt erőforrásokért kell fizetni. A Windows Azure a világ számos pontján lévő adatközpontokban fut, ezért a szolgáltatás mindig az ügyfélhez közel vehető igénybe.
Skálázható webhelyek. A Windows Azure-ban gyorsan és egyszerűen elkészíthetők a webhelyek, amelyek kicsiben indulnak, és a forgalommal arányosan növelhető a teljesítményük. A webhelyekhez bármilyen programozási nyelv és webes keretrendszer használható, a tartalom automatikusan frissíthető. A webhelyek igénybe vehetik a Windows Azure más szolgáltatásait (adatbázisok, gyorsítótár, tartalomterjesztő hálózat, adattárolás) is.
Mobilszolgáltatások
Kulcsrakész háttérszolgáltatások az üzleti és fogyasztói mobilalkalmazásokhoz. A Windows Azure segítségével felgyorsítható a mobilalkalmazások fejlesztése. Adattárolás, felhasználó-azonosítás, értesítések percek alatt – kész megoldások, amiket csak be kell illeszteni a Windows 8-alkalmazásba (és hamarosan a Windows Phone- vagy Android-alkalmazásba), így a fejlesztők a felhasználói felületre és képességekre koncentrálhatnak.
Médiaszolgáltatások
Feltöltés, kódolás, védelem, közvetítés. Média létrehozása, menedzselése és elérhetővé tétele a felhőben. A Windows Azure médiaszolgáltatása biztosítja a teljes feldolgozási folyamatot a kódolástól a tartalomvédelmen és közvetítésen át a médiafelhasználás elemzéséig. A kész tartalom „fogyasztható” Windowsban és Windows Phone-ban, Xboxon, iOS- és Android-eszközökön, HTML5-ben, Flashben és Silverlightban egyaránt.
Big Data
Tű a szénakazalban. Nagyvállalati felhasználásra kész, meglővő adatforrásokkal kompatibilis Hadoop szolgáltatás. SQL adatbázisok, félig és egyáltalán nem strukturált adatok lekérdezése. Egyszerű integráció az Active Directoryval és a System Centerrel.
42
43
A Windows Azure a vállalatoknál A Windows Azure elsősorban két képessége, a virtuális gépek által biztosított infrastruktúra-szolgáltatás (Infrastructure-as-a-Service, IaaS), illetve a felhőszolgáltatások által biztosított platformszolgáltatás (Platform-as-a-Service, PaaS) miatt fontos a vállalatok számára. Mindkettőhöz kapcsolódnak a Windows Azure egyéb képességei: az adattárolás (Storage),az adatbázis-kezelés (SQL Database), a virtuális hálózatok (Virtual Network), a felhasználó-azonosítás (Active Directory), a szolgáltatásbusz (Service Bus), a gyorsítótár (Caching), a tartalomterjesztő hálózat (Content Delivery Network, CDN) és az adatforgalom-átirányítás (Traffic Manager).
Különböző gépméreteket választhatunk, ezek jelenleg: Extra Small, Small, Medium, Large, Extra Large. Az egyes méretekhez eltérő számú processzormag, memóriaméret, ki-és bemeneti sávszélesség és maximális tárolóméret van rendelve. A virtuális gépek előtt hardveres terheléselosztó és az Azure saját tűzfala található. Egyszerű webes felületen nyithatunk portokat az egyes VM-ek felé, vagy éppen zárhatjuk le a kommunikációt. A gépek névterekbe, csoportokba rendelhetők, akár terheléselosztást használó webkiszolgáló-farmokat is kialakíthatunk pillanatok alatt. A virtuális gépek menedzsmentje végezhető a webes portálról, PowerShell vagy más parancssoros szkriptek használatával és a System Center segítségével is.
Operációs rendszerek és alkalmazások A Windows Azure számos operációs rendszert és verziót, valamint előtelepített alkalmazást kínál, szükségtelenné téve így a telepítés és konfiguráció jelentős részét. Jelenleg a következő lemezképek érhetők el a galériában: ● Windows alapú virtuális gépek és alkalmazások:
Virtuális gépek A Windows Azure Virtual Machines szolgáltatás segítségével könnyen és gyorsan hozhatunk létre virtuális gépeket a felhőben. Ezek felügyeletéről, mentéséről, karbantartásáról nekünk kell gondoskodnunk, ugyanúgy, mintha a saját adatközpontunkban lennének.
• • • • •
Windows Server 2008 R2 SP1, 2012. júliusi állapot Windows Server 2008 R2 SP1, 2012. augusztusi állapot Windows Server 2012 Windows Server 2008 R2 SP1 + SQL Server 2012 Windows Server 2008 R2 SP1 + BizTalk Server 2010 R2 CTP
● Linux alapú virtuális gépek: • • • •
OpenLogic CentOS SUSE Linux Enterprise Server Ubuntu Server openSUSE
A Windows Servereken támogatott és futtatható szerepkörök a következők:
A gépek könnyen skálázhatóak mind felfelé (váltás nagyobb virtuális gépre), mind pedig kifelé (több azonos méretű gép használata), így ha nagyobb kapacitásra van szükségünk, akkor ezt pár kattintással megkaphatjuk. A virtuális gépek konfigurációja exportálható, a VHD formátumú virtuális merevlemezek le- és feltölthetők, nagyfokú rugalmasságot és mobilitást biztosítva az üzemeltető szakembereknek.
● ● ● ● ● ● ● ● ● ● ● ●
Active Directory Domain Services Active Directory Federation Services Active Directory Lightweight Directory Services Application Server DNS Server Fax Server Network Policy and Access Services Print and Document Services Web Server (IIS) Windows Deployment Services Windows Server Update Services File Services.
A támogatott operációs rendszerek és lemezképek köre folyamatosan bővül.
44
45
Virtuális gépek mozgatása a saját adatközpont és a felhő között
Adattárolás
Virtuális gép többféleképpen is létrehozható a felhőben. Választhatunk a galériában található, előre elkészített lemezképekből, létrehozhatunk saját lemezképet (Linux és Windows alapút is), de a már meglévő virtuális gépek is feltölthetők a felhőbe.
A Windows Azure Storage segítségével biztonságosan tárolhatjuk virtuális lemezeinket. Az elsődleges névteret és hozzáférést a tárolási szolgáltatásokhoz a tárolási fiókon keresztül érhetjük el. A fiók maximális mérete 100 TB lehet, egy Azure előfizetésben öt ilyen fiókot hozhatunk létre.
A virtuális gépek mozgatásával gyorsan helyezhetünk át kiszolgálói feladatokat az Azure-ba, vagy onnan a saját adatközpontba. A VHD fájlok mozgatása történhet grafikus felületen keresztül vagy szkriptek segítségével is. Lehetőség van saját image feltöltésére is: készítsük el a szokásos módon a lemezképet, futassuk le a SYSPREP eszközt, és másoljuk fel a VHD-t az Azure-ba. A feltöltést követően már csak konfigurációt kell rendelnünk a lemezhez, és használatba is vehető a szerverünk. Ha az Azure-ból szeretnénk visszaköltöztetni gépet a privát felhőbe, töltsük le a VHD-t, másoljuk fel a Hyper-V kiszolgálóra, majd indítsuk el.
Virtuális hálózatok Az Azure-ban futó virtuális gépek hálózati konfigurációjának alapértelmezett beállításáról a Microsoft gondoskodik. Virtuális DHCP szervereken keresztül biztosítja gépeinknek a megfelelő IP címeket és a névfeloldást. A névtér felhőszolgáltatások segítségével szabályozható. Azok a gépek, melyek azonos felhőszolgáltatás alá tartoznak, közös névtérbe rendeződnek. A felhőszolgáltatás mögé rejtett gépeink végpontok segítségével kommunikálnak az Internet felé. Ezek segítségével megvalósítható port forward és load balance szolgáltatás is (pl. IIS és Apache serverek számára). A Windows Azure Virtual Networks lehetővé teszi, hogy a már Azure-ban lévő gépeket saját hálózatba rendezzük, meghatározzuk az IP címtartományt, a DNS szervereket, és létrehozzunk alhálózatokat is. A Local Networks funkció a helyi hálózatunk címtartományának meghatározása a későbbi VPN konfiguráció biztosításához. Természetesen több Local Network is definiálható attól függően, hogy mely telephelyet/alhálózatot kívánjuk kiterjeszteni a publikus felhőbe.
Kapcsolat ég és föld között A Windows Azure lehetőséget biztosít rá, hogy állandó kapcsolatot építsünk a privát és a publikus felhő közé. Ez a klasszikus telephelyek közötti (site to site) VPN megoldás az IPSEC protokoll segítségével lehetővé teszi a rendszergazdáknak, hogy biztonságosan kiterjesszék a helyi infrastruktúrát a nyilvános felhőbe, és közben továbbra is felügyeljék a teljes hálózati topológiát, a DNS névfeloldást, stb. A telephelyek közötti VPN kapcsolat kiépítéséhez az alábbi támogatott eszközök egyikére lesz szükségünk: Cisco ASA 5500, ASR 1000 vagy ISR Series illetve Juniper SRX, J,ISG, SSG Series. Az eszközök köre várhatóan bővülni fog. A telephelyek közötti VPN bevezetésével a vállalti infrastruktúra számára megnyílnak a lehetőségek a korlátlan méretű adatközpontok felé, valóra válik a dinamikus erőforrásfoglalás, a gyors VM-költöztetés és a valós igényekhez alkalmazkodó infrastruktúra kiépítése.
A tárolási fiókban lévő adatok magas rendelkezésre állását helyi redundancia biztosítja. Minden VHD fájl három, fizikailag és logikailag egymástól távol elhelyezkedő példányban tárolódik egy adatközponton belül, bármelyik példány meghibásodása esetén a Windows Azure automatikusan egy másikat kezd használni, a két működő példány alapján pedig létrehoz egy újat. A tárolási fiók tartalmát a Windows Azure nemcsak helyben, de földrajzilag is biztosítja. Az egy földrajzi régióba tartozó adatközpontok (például a két európai) között automatikus geo-replikáció működik, így akár egy teljes adatközpont leállása esetén is elérhetőek maradnak az adatok. (A geo-redundancia az alapértelmezett beállítás, de igény szerint kikapcsolható.) A storage account-ok védelméről minden esetben két darab 512 bites titkosítókulcs is gondoskodik.
Tartós lemezek A tartós (perzisztens) VHD tárolás biztosítja, hogy bármilyen esemény is következzen be, a virtuális gépek által használt lemezek tartalma megmarad. Új virtuális gép létrehozásakor mindig kapunk egy darab perzisztens rendszerlemezt és egy darab nem perzisztens adatlemezt. Az utóbbi neve Temp Storage, és – természetesen – csak ideiglenes adatok tárolására alkalmas. Vannak tehát rendszerlemezek (OS Disk) és tartós vagy nem tartós adatlemezek (Data Disk), ezek közül az első az operációs rendszer tárolására és futtatására használt virtuális lemez, míg a második tetszőleges adatok tárolására használt lemeztípus. A különböző felhasználási területekre szánt lemeztípusok más-más gyorsítótárazási megoldást használhatnak, és eltérő mérethatárok vonatkoznak rájuk. A rendszerlemez maximális mérete 127 GB lehet, az adatlemezé 1 TB. A rendszerlemez esetében alapértelmezésben be van kapcsolva az írási és olvasási gyorsítótár, az adatlemeznél a felhasználónak kell gondoskodnia a megfelelő beállításokról.
Mentés a felhőbe A VHD fájlok használatával bármikor mozgathatunk adatokat, teljes virtuális gépeket a Windows Azure és a helyi infrastruktúra között. Ez nagyfokú rugalmasságot, könnyebb kapacitástervezést biztosít az IT-szakembereknek. Természetesen használhatjuk mentések tárolására is az Azure-beli tárolási fiókot. Több Microsoft-partner fejleszt felhőbe irányuló alkalmazásokat, eszközöket a mentések készítésére, tárolására, az adatok automatikus replikálására (pl. StorSimple, CommVault). Már kipróbálható a Microsoft Online Backup Service megoldás, amely teljes mértékben integrálódik a Windows Server 2012 és a System Center 2012 termékekbe, és biztosítja az adatok mentését a felhőbe. Ez az ügynök alapú megoldás képes az adatok tömörítésére, tikosítására, a sávszélesség optimalizálására, és támogatja a különbségi mentéseket is.
Egységes virtuálisgép-kezelés A System Center App Controller 2012 SP1 a nagyvállalatok eszköze a virtuális gépek egységes kezelésére a saját adatközpontban és a felhőben. Az App Controller a következő feladatokban segít: virtuális gépek létrehozása és törlése, adatlemezek csatolása és leválasztása, felhőszolgáltatások menedzselése, végpontok készítése és módosítása, skálázás. Az alkalmazás képes több Azure-előfizetés kezelésére is.
46
47
Felhőszolgáltatások
Adatbázisok
Képzeljük el, hogy a fejlesztők végre arra koncentrálhatnak, amihez igazán értenek: a fejlesztésre. A Windows Azure felhőszolgáltatásainak (Cloud Services) lényege, hogy .NET, Java, PHP, node.js stb. technológiával készült alkalmazásunkat becsomagoljuk, mellékelünk hozzá néhány leíró információt (például hány példányban és mekkora gépeken szeretnénk futtatni), majd az egészet feltöltjük a felhőbe. Az Azure pedig elintézi helyettünk a Windowsok telepítését és naprakészen tartását, a hardverhibák automatizált kezelését, a hálózati beállításokat, és egy sor egyéb problémát, amikkel amúgy az üzemeltetőknek, vagy (rosszabb esetben) a fejlesztőknek kéne küzdeniük.
Helyben üzemeltetett SQL Serverünket könnyedén kiegészíthetjük, esetleg kiválthatjuk egy felhőből kiszolgált SQL adatbázissal. Az Azure SQL adatbázisai sok tekintetben ugyanolyan adatbázisok, mint amiket helyben tarthatunk, csak a kapcsolatleíróban (connection string) más a szerver neve. Ennek köszönhetően a megszokott eszközpark túlnyomó többségével gond nélkül együttműködnek (legyen szó az SQL Server Management Studióról, vagy a különböző programozási nyelvekhez készült adathozzáférési technológiákról és meghajtókról).
Emellett alkalmazásunk a publikus felhő szinte kimeríthetetlen méretű adatközpontjain fog futni. Így aztán az alkalmazás rugalmas fel- és lefelé skálázása is mindössze egy szám átírását igényli, nincs többé sem időszakos túlterhelés, sem fölöslegesen működő szerverek.
A felhős SQL adatbázisok előnyei viszont számosak: ahogy a felhő többi részénél, itt sincsenek üzemeltetési feladatok (és így licencbeszerzések sem!), magas a rendelkezésreállás, és az Azure sokszorosan redundáns tárhelyszolgáltatását kihasználva könnyen kialakíthatunk egy automatizált és nagyon biztonságos backup-szisztémát. Egy SQL Database maximális mérete jelenleg egy tekintélyes 150 gigabájt, az SQL Federations nevű technológiával pedig több adatbázist összefűzhetünk egy egységbe, így gigantikus adatfarmokat is kreálhatunk.
A Cloud Services használatához a fejlesztőknek nem kell új technológiákat megtanulniuk, egyszerűen csak kicsit más módon kell publikálniuk az elkészült alkalmazást. Ennek köszönhetően a helyben, akár korábban készült alkalmazások könnyűszerrel publikálhatók a felhőbe, és fordítva, a Cloud Service-ek forráskódja is egyszerűen beüzemelhető helyi infrastruktúrán.
Felhasználó-azonosítás A mai weben még mindig rengeteg olyan oldal van, ahová külön kell regisztrálnunk. Ez kényelmetlen és biztonsági szempontból sem ideális – senki sem szeret öt percet űrlapok kitöltögetésével és levelek várásával tölteni, a sok (jó esetben különböző) jelszó kezelése pedig komoly biztonsági kockázat. Van elegánsabb megoldás is, ami Azure Access Control Service (ACS) névre hallgat. Ha fogyasztóknak szánt weboldalon dolgozunk, akkor az ACS segítségével fejlesztőnk Live ID, Google vagy Facebook bejelentkezést tud beépíteni a webalkalmazásba. Az odalátogató felhasználó regisztráció és jelszavazás helyett egyszerűen megnyomja például a „Bejelentkezés Live ID-val” gombot, webalkalmazásunk pedig megkapja a felhasználó azonosítóját, esetleg nevét.
Az SQL Database és Data Sync technológiákkal számos topológiát kialakíthatunk: felhős alkalmazásunk adatbázisát is kitehetjük a felhőbe; helyi adatbázisunk egyfajta online backupjaként vethetünk be egy felhős adatbázist; ha a felhő-adatbázis a mesterpéldány, akkor a helyi adatbázist lokális cache-ként alkalmazhatjuk például kirendeltségeken, boltokban, és így tovább.
Webhelyek Az Azure Web Sites a végletekig leegyszerűsíti a weboldalak publikálását és üzemeltetését. Amikor új weboldalt hozunk létre, akkor egy galériából kiválaszthatjuk a legszimpatikusabb CMS-t (pl. Drupal, Joomla vagy Orchard), vagy feltölthetünk saját fejlesztésű webalkalmazást is. Mind Visual Studióból, mind a népszerű Git és TFS verziókezelő rendszerekből egy kattintással tudjuk telepíteni és frissíteni weboldalunkat, de akár FTP-n keresztül is hozzáférhetünk a forrásfájlokhoz.
Ha pedig céges ügyfél számára, vagy belső felhasználásra fejlesztünk, akkor az ACS segítségével Active Directory-felhasználók is bejelentkeztethetők, akár úgy is, hogy weboldalunk a felhőben fut, az Active Directory kiszolgáló pedig a biztonságos céges tűzfal mögött van.
Az árazás is igen barátságos: felhasználónként tíz Web Site-ot ingyenesen létrehozhatunk. Ezekre bizonyos erőforrásbeli megkötések vonatkoznak, amiktől meglehetősen alacsony összegekért megszabadulhatunk, de néhány kattintással akár dedikált szervert is tehetünk webalkalmazásaink alá. Lehetőségünk van saját domain-név használatára, és bevethetünk SQL Server-alapú vagy akár MySQL adatbázist is. Az üzemeltetési feladatokkal pedig természetesen nem kell bajlódnunk, azokat a felhő ellátja.
Az Azure Access Control segítségével tehát a felhasználó-hitelesítés, mint felhasználó és fejlesztő számára is kényelmetlen kérdéskör, rendkívül leegyszerűsíthető. Az ACS maga egy felhőből futtatott szolgáltatás, viszont bármilyen webalkalmazás igénybeveheti: ha helyi szervereinkről szolgálunk ki egy weboldalt, a bejelentkeztetés folyamata akkor is történhet az Access Control segítségével.
Felhőalkalmazások felügyelete
Szolgáltatásbusz Az Azure több eszközzel is segíti a felhőben és a földön futó alkalmazások integrációját. Az egyik hasznos elem a Service Bus nevű szolgáltatás. A Service Bus Queues nevű technológia segítségével fent és lent futó alkalmazásaink üzenetváltását könnyíthetjük meg. A szolgáltatás Queue-i felhőben tárolt adatstruktúrák, melyeket REST, AMQP, WS* és egyéb szabványos protokollokon keresztül írhatunk-olvashatunk mind a földről, mind a felhőből. A sorok garantálják az üzenetek kézbesítését, és lehetőségünk van több címzettnek szóló üzenetek küldésére is, így egy jól használható és robusztus üzenetváltási architektúrát kapunk. A Service Bus Relay használatával pedig egy belső, tűzfalak, proxy szerverek stb. mögött álló alkalmazásból tudunk publikálni egy nyilvános végpontot anélkül, hogy meg kelljen bontanunk a tűzfalakat. A Relay szolgáltatás segítségével ugyanis felépíthető egy közvetlen kapcsolat az alkalmazásunk és a Relay szerverek között. A külső kéréseket a Relay szerverekhez kell irányítani, amik ezeket a biztonságos közvetlen kapcsolaton keresztül továbbítják alkalmazásunkhoz. Így anélkül tudunk nyilvános végpontot létesíteni, hogy a biztonságból áldoznunk kéne, hiszen a mi szervereink kívülről továbbra sem láthatók.
48
Az Azure adatbázisait kihasználva hibrid infrastruktúra is kiépíthető. A Data Sync szolgáltatással helyben és felhőben futó adatbázisszervereink szinkronban tarthatók. Akár több felhős és több helybeli adatbázis is szerepelhet egyetlen szinkronizációs csoportban, a szinkronizálandó adatokat pedig táblákra, vagy akár sorokra is lekorlátozhatjuk.
A System Center 2012 segítségével nem csak a privát, hanem a nyilvános felhőben, vagyis az Azure-ban futó gépeinket is széles körűen tudjuk felügyelni. Az Azure-alkalmazások (Cloud Service-ek) becsomagolás után két fájlból állnak. Az egyik fájl az alkalmazás kódját és statikus elemeit tartalmazza, a másik fájl pedig a felhőnek szóló beállításokat (például hány darab és mekkora virtuális gépen szeretnénk futtatni az alkalmazásunkat). Ezt a két fájlt kell felmásolnunk a System Centerbe. Felmásolás után az App Controller nevű komponens segítségével egy kattintással indíthatjuk az alkalmazás Azure-ba való telepítését, a felhő pedig lefoglalja számunkra a kívánt erőforrásokat. Telepítés után a felhőalkalmazások felügyeletét a System Center Operations Managerhez készült Windows Azure Management Packkel tudjuk ellátni. Ennek segítségével az összes előfizetésünkben lévő valamennyi alkalmazásunkat egy felületen követhetjük nyomon. Kapunk egy összefoglaló nézetet, amely az egyes alkalmazások állapotát listázza, valamint egy alkalmazásonkénti részletes nézetet, ahol az alkalmazás szervereit láthatjuk külön-külön. A Distributed Application konzol segítségével pedig egy felületre húzhatjuk össze a logikailag összetartozó felhőbeli és földi szervereket.
49
Árazás és licencelés
Előfizetések
A Windows Azure egy online szolgáltatás, amelynek használatáért az igénybe vett erőforrások mennyisége és az igénybevétel időtartama alapján kell fizetni. Az árazás alapja tehát az egyes erőforrások egységára.
A Windows Azure használatához előfizetés szükséges. A vállalat mérete és a felhasználni kívánt Azure-erőforrások mennyisége alapján háromféle előfizetéstípus közül választhatunk:
Nagyvállalati keretszerződés (Enterprise Agreement, EA) Az EA a Microsoft-szoftvertermékek beszerzésének elterjedt módja a nagy- és középvállalatok között. A Windows Azure megvásárlására is felhasználható, a felhőplatformra vonatkozó beszerzés csatolható egy már meglévő EA-hoz, de megköthető külön is. Fontosabb jellemzői: ● Az EA segítségével szerezhető be a Windows Azure a leginkább költséghatékony módon. Itt érhető el a legjelentősebb kedvezmény a fenti táblázatban látható listaárakhoz képest. A kedvezmény mértéke a vállalat nagyságától, illetve az egy éves időszakra igényelt Azure-erőforrások mennyiségétől függ. ● Ugyancsak az EA nagyon rugalmas a felhő tényleges használatát illetően. Az erőforrások egy éven belül bármikor felhasználhatók, azaz lehet kicsiben kezdeni, és aztán nagyra nőni, vagy kényelmesen kiszolgálni a szezonális teljesítményigény-ingadozásokat. Nem szükséges előre megmondani, milyen errőforrásokat fogunk használni, egy speciális egyenértékest, az ún. Azure Monetary Commitmentet vásároljuk meg, amit aztán szabadon átválthatunk tetszőleges erőforrásra. ● Az eredeti keretösszeget bármikor túlléphetjük, a túlfogyasztásért egy, a szerződésben szereplőnél magasabb (de a listaárnál alacsonyabb) árfolyamon számláz a Microsoft. Dönthetünk úgy, hogy a megnövelt teljesítményre a továbbiakban is szükségünk van, ilyenkor felfelé módosítjuk a megrendelés összegét, és az eredeti, csökkentett áron fizetünk az extra erőforrásokért. ● Az EA belépési szintje évi 25 000 USD, megköthető egy vagy három évre, nagyvállalati viszonteladó partneren (Large Account Reseller, LAR) keresztül, számlázással.
Kötelezettségvállalás (Commitment) A kötelezettségvállalás a kis- és középvállalatok Azure-beszerzésének legmegfelelőbb módja. Az EA-hoz képest minimális adminisztrációt igényel, mégis komoly megtakarítást eredményez.
Erőforrások Az alábbi táblázat néhány tipikus Windows Azure-erőforrás felhasználási egységét és egységárát tartalmazza .1
1 2
Erőforrás neve
Felhasználási egység
Egységár
Windows alapú virtuális gép
1 db kis virtuális gép egyórás futása
0,115 USD2
Felhőszolgáltatás
1 db kis virtuális gép 1 egyórás futása
0,12 USD
Adatbázis
1 db 1 GB-os adatbázis egyhavi tárolása
9,99 USD
Adattárolás
1 GB adat egyhavi geo-redundáns tárolása
0,125 USD
Felhasználó-azonosítás
havi 100 000 azonosítás
1,99 USD
Adatforgalom
havi 1 GB adat továbbítása a felhőből
0,12 USD
A táblázat adatai tájékoztató jellegűek. A mindenkori aktuális információk a http://www.windowsazure.com/en-us/pricing/details/ címen találhatók.
A virtuális gépek jelenleg akciós áron érhetők el, egy Windows alapú virtuális gép óránként 0,08 USD-be kerül. A táblázatban az akció után várható ár, 0,115 USD szerepel.
Fontos tudnivaló, hogy ha a felhasználó igényelt egy erőforrást, fizetnie kell érte akkor is, ha nem használta azt. A virtuális gép, a felhőszolgáltatás vagy az adatbázis tényleges hardvert köt le az adatközpontban, amit egyidejűleg nem használhat más. Ezért például a virtuális gépért akkor is fizetni kell, ha a rajta futó alkalmazást senki nem veszi igénybe. Ha nem szeretnénk fizetni érte, le kell törölnünk – ezt bármikor megtehetjük, szerencsére virtuális gépek esetén a lemezek megmaradnak, így szkriptből vagy kézzel bármikor újraindíthatjuk.
50
A részletek: ● A kötelezettségvállalás típusú előfizetés legalább 20%-os kedvezményt jelent a táblázatban látható listaárhoz képest: ennyit kapunk, ha hat hónapos időtartamra szerződünk. Ha ezt tizenkét hónapra tesszük, újabb 2,5% jár, és ugyancsak ennyi, ha a számla havi kiegyenlítése helyett egy összegben, előre kifizetjük az Azure használatát. Összességében tehát akár 25%-ot is megtakaríthatunk. ● A kötelezettségvállalás is rugalmas, itt is tetszés szerint használhatunk Azure-erőforrásokat a szerződés teljes időtartamán és a költségkereten belül. Ha utóbbit túllépjük, a Microsoft listaáron számlázza a túlhasználatot – de itt is lehetséges az eredeti előfizetés összegének emelése és a kedvező árszint megőrzése. ● A kötelezettségvállalás típusú előfizetés belépési szintje havi 500 USD, megköthető online, kiegyenlíthető bankkártyával vagy (mennyiségi licencvásárlási azonosító birtokában vagy hitelképességi vizsgálat után) számlázással.
Használat szerinti fizetés (Pay-As-You-Go) Ez a Windows Azure alapértelmezett előfizetési módja – könnyen igénybe vehető, rugalmasan használható, ám költségesebb. Az Azure-ral ismerkedőknek, új szolgáltatást, alkalmazást fejlesztőknek ajánljuk. Jellemzői: ● Ez az előfizetéstípus úgy működik, hogy az előfizetés megkötésének havi fordulónapján a Microsoft összeszámolja az egyes erőforrások használatát az előző hónapban (a virtuális gépeket, felhőszolgáltatásokat óránként átlagolva, a többit naponta, vagy egyszerűen egész hónapra összesítve), beszorozza ezeket a listaárral, és kiszámlázza vagy levonja az összeget. A kalkuláció termé szetesen figyelembe veszi az egyes erőforrások (pl. az adattárolás) mennyiségi kedvezményeit, de mindenképpen ez lesz a legköltségesebb előfizetési forma. ● A használat szerinti előfizetés nagyon rugalmas, bármilyen erőforrást szabadon használhatunk – igaz, utána ki kell fizetnünk azokat. ● A használat alapú megoldásnak nincs belépési szintje, a költségek kiegyenlíthetők bankkártyával vagy (mennyiségi licencvásárlási azonosító birtokában vagy hitelképességi vizsgálat után) számlázással.
51