部署和管理Windows Azure Pack

Windows Azure Pack（簡稱WAP）擁有與公有云Windows Azure接近的用戶體驗，能夠將私有云與公有云完美結合起來。其通過單一的Web門戶，給企業內云管理員和用戶（租戶）提供了一個易于上手和管理的使用工具，通過此工具，管理員和用戶（租戶）可實時監控已有資源，并可根據業務需要實現按需擴展。

WAP的部署方式

打開微軟的技術支持頁面，點擊“安裝Windows Azure Pack:門戶和API Express”鏈接，下載并運行所需的安裝程序，在其左下角點擊“要安裝的項目”項，顯示其默認安裝的所有組件。之后按部就班完成安裝即可。

注意：事先需要安裝好.NET FrameWork 3.5組件。

在Web平臺安裝程序界面中打開“產品”項，選擇未安裝的組件，點擊“添加”按鈕，進行安裝操作。如果需要離線安裝的話，則稍微復雜一些。

運行上述安裝程序后直接退出，以管理員身份在命令提示符窗口中執 行“"%ProgramFiles%Microsoft Web Platform Installer WebpiCmd.exe"/Offline/Products:"WAP_SingleMachineInstallatio n" Path: "D:WAPOfflineDa ta"/XML:"https://www.microsoft.com/web/webpi/4.6/webproductlist.xml/Log:"D:WAPOffline.log"”命令，將WAP安裝文件緩存到“D:WAPOfflineData”目錄中。完成后執行“"%ProgramFiles%MicrosoftWeb Platform InstallerWebpiCmd.exe"/install/products:"WAP_SingleMachineInstallatio n"/XML:D:WAPOfflineDat afeedslatestwebproduc tlist.XML”命令，來離線安裝WAP。

WAP的基本配置

訪 問“h t t p s://xxx:30101”地址，進入WAP配置頁面，其中的“XXX”表示WAP服務器的IP，輸入數據庫服務器的名稱，選擇身份認證類型，包括SQL Server身份認證和Windows身份認證。

輸入數據庫服務器管理員賬戶名和密碼，在“配置存儲區”欄中輸入用于存儲和檢索機密信息的密碼。

然后依次點擊下一步按鈕，保存配置信息。運行Windows Azure Pack Configuration Site程序，點擊“立即配置”按鈕，可以清除原有配置信息，進行新的配置操作。

因為WAP是由多個IIS站點組成，為了提高安全性，需要使用域中CA頒發的證書。

運行IIS管理器，在左側選擇“網站”項，在其中顯示的以“MgmtSvc”開頭的網站都和WAP有關。

依次選擇這些網站，在其右鍵菜單上點擊“編輯綁定”項，在打開窗口中雙擊“https”類型，然后在“SSL證書”列表中選擇合適的域證書。

注冊必要的服務

因為WAP無法和SCVMM 2012 R2直接通訊，相關的調配任務的指令信息必須通過SPF（即System Center Service Provider Foundation）發出才行。

因此，事先需要在某臺服務器上（例如名為“Tserver1”）先下載安裝WCF數據服務 5.0，ASP.MET MVC4等組件。

再運行System C e n t e r 2 0 1 2 R 2 Orchestrator安裝程序，在界面中點擊“Service Provider Foundation”項，根據提示安裝.Net Extensibility 4.5，IIS6腳本工具，Windows身份驗證，基本身份驗證，管理Odata IIS擴展等模塊。

在安裝界面的配置窗口中輸入SQL Server 2012數據庫服務器名稱（例如“ServerDB”），端口號和數據庫名稱。

在下一步窗口中設置網站名稱（例如“SPFSite”）和端口號，選擇“使用現有證書”項，選擇合適的證書。

圖1 WAP管理界面

圖2 注冊SPF服務

然后為配置管理員Web服務，配置Provider Web服務以及配置VMM Web服務指定具有管理員權限的域賬戶（例如“xxxadminuser”）。

然后在System Center 2012 R2 Orchestrator安裝程序界面中分別點擊“Web服務”和“Runbook Worker”項，根據向導執行具體的安裝操作。

運行Windows Azure Pack Administration Site程序，在右上角點擊設置按鈕，選擇中文簡體界面，如圖1所示。

在左側選擇“VM云”項，在右側點擊“注冊System Center Service Provider Foundation”項，在注冊界面（如圖2所示）中的“服務URL”欄中輸入“https://Tserver1.xxx.com:8090”，其 中 的“xxx”為具體的域名，輸入具有管理員權限的域賬戶（例 如“xxxadminuser”）和密碼。

在左側點擊“注冊Service Provider Usage”項，在注冊界面中合適的 地 址（例 如“https://Tserver1.xxx.com:8090/usage”）和域賬戶信息。

在 右 側 點 擊“注冊Service Management Automation”項，在 注 冊界面中合適的地址（例如“https://Tserver1.xxx.com:9090”）和域賬戶信息，方法與上述完全一致。

連接SCVMM主機

在默認情況下，WAP無法對SCVMM 2012 R2進行基礎架構方面的管理，因為WAP只能以云為單位執行對應的維護操作。 在 上 述“Twinser1”上 運 行“lusrmgr.msc”程序，在打開窗口中選擇“SPF_Admin”組，在其屬性窗口中確保添加了以上“xxxadminuser”賬戶。在SCVMM 2012 R2主機上打開SCVMM管理界面，在左下角選擇“配置”項，在左側選擇“安全性”→“用戶角色”項，打開管理員屬性窗口，在其中確保添加“xxxadminuser”賬戶。

圖3 連接SCVMM 2012 主機

同時，在“VM和服務”欄中選擇“云”項，確保其中創建了私有云。在WAP管理界面左側選擇“VM云”項，在右側點擊“使用現有虛擬機云提供程序配置虛擬機”項，在右側 的“VIRTUAL MACHINE MANAGER服務器FQDN”欄中輸入SCVMM 2012 R2主機的全名（如圖3），點擊“注冊”按鈕，連接成功后顯示目標主機的云信息。

創建計劃項目

當連接完成后，必須配置合適的計劃和用戶，才可以對云中的虛擬機進行管理。所謂計劃其實就是權限的分配方案，不同的計劃對應的服務是不同的。例如對于某計劃來說，包含允許用戶部署15個虛擬機的權限等。在左側選擇“計劃”項，在右側點擊“創建新的宿主計劃”項，在向導界面中輸入該計劃的名稱（例如“Project1”），在下一步窗口中選擇“虛擬機云”項，在列表中選擇“虛擬機云”項。點擊下一步按鈕，創建該計劃。

同理可以創建多個計劃，在列表中顯示所有的計劃項目，在默認情況下，其狀態均為“私有”。如果將對應的計劃狀態修改為“公共”，那么任何用戶都可以對其進行申請，出于安全性的考慮不建議這樣設置。點擊對應的計劃項目，在其配置界面中的“計劃服務”欄中點擊“虛擬機云”項，在“VMM管理服務器”列表中選擇目標SCVMM 2012 R2服務器，在“虛擬機云”列表中顯示其中的所有私有云項目。

選擇對應的私有云，在“使用限制”欄中可以針對虛擬機、核心數、存儲和虛擬網絡，網絡每秒傳入的MB，網絡每秒傳出的MB，每個網絡的站點到站點VPN數等參數進行配置。

注意：如果沒有配置虛擬化網管的話，虛擬網絡是無法使用的。

在“模版”欄中可以對虛擬機模版進行管理，例如添加模版和刪除模版等。

在“其他設置”欄中可以選擇是否允許創建，查看并還原虛擬機檢查點，保存虛擬機狀態，將虛擬機存儲到庫中并從庫中部署虛擬機，連接到虛擬機的控制臺等。點擊保存按鈕，可以對該計劃進行配置。

創建租戶信息

僅僅創建了計劃是不夠的，還需要創建賬戶信息。在WAP管理界面左側選擇“用戶賬戶”項，在右側點擊“創建新用戶”項，輸入其名稱（即電子郵件地址）和密碼，并為其選擇關聯的計劃項目。

點擊“創建”按鈕，來創建該用戶（如圖4）。WAP允許用戶自助創建所需的賬戶，訪問“https://xxx:30081”地址，點擊注冊按鈕，輸入賬戶名和密碼，完成賬戶創建操作。

當然，兩種創建賬戶的方法是存在差異的，后者無法綁定對應的計劃項目，需要管理員手工進行分配。如果管理員將對應的計劃設置為公開狀態的話，用戶就可以自行訂閱。

圖4 創建賬戶

在管理界面中打開用戶賬戶界面，在其中顯示所有的賬戶信息，利用底部的按鈕，可以對其進行掛起，重置密碼以及刪除等操作。在“配置”面板中可以調整賬戶密碼的強度，啟用或者禁止租戶自助服務訂閱管理，是否需要對賬戶進行驗證等。在“通知”面板中打開“規則”標簽，可以配置諸如驗證用戶，向用戶發送用于重置密碼的鏈接，向用戶發送新密碼等操作，其默認均沒有啟用，如果需要啟用的話，需要為WAP配置SMTP郵件發送服務。在“通知”面板中點擊“設置”項，可以配置所需的SMTP郵件發送服務的參數信息。

WAP默認要求用戶自助創建賬戶，之后由管理員審批并綁定對應的計劃。在WAP管理界面左側選擇“用戶”項，在右側顯示創建的所有用戶信息。在SCVM 2012 R2中也可以顯示這些賬戶，在其主界面左下角選擇“設置”項，在左側選擇“安全性”→“用戶角色”項，在列表中看到相關的用戶信息。

安裝和配置ADFS服務

在實際的與域環境中，為了便于集中管理用戶，往往需要使用域賬戶來登錄WAP，這就需要使用到Active Directory Federation Services聯合身份驗證服務。

在某臺主機（例如“Twinser2”）上打開服務管理器，點擊“添加角色和服務”項，選擇“Active Directory Federation Services”角色。

當安裝完畢，在ADFS配置界面中點擊“更改”按鈕，選擇具有域管理員身份的用戶來執行配置操作。

在下一步窗口中綁定SSL證書，輸入ADFS服務名稱（例如“lhyz”）和其顯示名稱（例如“lhyz.xxx.com”）。

然后依次選擇域賬戶（例如“xxxadminuser”）和 數據庫類型（默認為內部數據庫），來執行具體的配置操作。

為了防止出錯，可以在CMD窗口中執行“setspn -s host/lhyz xxxadminuser”命令，來配置SPN信息。

配置ADFS信任關系

為了讓WAP的站點可以使用到ADFS服務，需要在“Twinser2”主 機 上 打開ADFS管理程序，在左側選 擇“ADFS” →“信 任 關系”→“信賴方信任”項，在其右鍵菜單上點擊“添加信賴方信任”項，在向導界面中選擇“導入有關在線或在本地網絡上發布的信賴方的數據”項，輸入合適的聯合元數據地址，例如“https://winazure.xxx.com:30081/federationMetadata/2018-07/Federationmetadata.xml”，其 中 的“winazure.xxx.com”為WAP主機的名稱。

在下一步窗口中輸入信賴方的名稱（例如“xlwap”），選擇“此時，我不想為此信賴方配置多重身份驗證設置”項，在下一步窗口中選擇“允許所有用戶訪問此信賴方”項，關閉向導界面，在聲明規則窗口中點擊“添加規則”項，在向導界面中的“聲明規則模版”列表中選擇“以聲明方式發送LDAP特性”項，在下一步窗口中輸入規則名（例如“gz1”），在“特性存儲”列表中選擇“Active Directory”項，在“LDAP特性傳出聲明類型的映射”列表中的“LDAP特性”列中選擇“User-Principal-Name”，在“傳出聲明類型”列中選擇“UPN”。

按照同樣配置名為“gzzu1”的聲明，在“LDAP特性”列中選擇“Token-Groups-按長域名限定”項，在在“傳出聲明類型”列中選擇“GROUP”。再次創建規則，在“聲明規則模版”列表中選擇“經歷或篩選傳入聲明”項，輸入規則名稱（例如“pgz1”），在“傳入聲明類型”列表中選擇“UPN”項。按照同樣方法創建規則，輸入規則名稱（例如“pgzu1”），在“傳入聲明類型”列表中選擇“GROUP”項。在左側選擇“ADFS”→“信任關系”→“聲明提供方信任”項，在其右鍵菜單上點擊“添加聲明提供方信任”項，在向導幫助下配置信任信息，輸入合適的聯合元數據地址，例如“https://lhyz.xxx.com/federationMetadata/2018-07/Federationmetadata.xml”，具體配置方法與上述基本一致。

配置租戶的ADFS認證功能

在 P o w e r S h e l l窗 口 中 執 行“Set-AdfsRelyingPartyTrust-T a r g e t I d e n t i f i e r'http://azureservices/TenantSite' EnableJWT$True”命 令，來 開 啟 JWT認證功能。執行“Set-AdfsRelyingPartyTrust-TargetName "xlwap"-ClaimsProviderName @{"lhyz" }”命令，來配置租戶使用的ADFS認證。

在WAP主 機 上 打開PowerSHell窗 口，執 行“$fqdn = 'lhyz.xxx.com'”，“$dbServer= 'winazure.xxx.commysql'”，“$dbPassword ='password@'”，“$portalCon figStoreConnectionString=[string]::Format('Data S o u r c e={0};I n i t i a l C a t a l o g=M i c r o s o f t.MgmtSvc.PortalConfigStor e;User ID=xxxadminuser;P assword={1}', $dbServer,$dbPassword)”，“SetSet-MgmtSvcRelyingPartySett ings-Target Tenant-Met adataEndpoint https://$f qdn/federationMetadata/2 018-07/Federationmetadat a.xml ConnectionString$portalConfigStoreConnec tionString”命令，來配置租戶的ADFS認證功能。其中的分別配置了ADFS主機名稱，WAP主機使用的數據庫名稱以及密碼，同時使用了Windows身份驗證方式。這樣，登錄WAP時可以使用域賬戶進行訪問。對于管理員，在創建用戶時只需輸入用戶名和選擇對應的計劃即可。

在WAP中創建虛擬機

當用戶訪問“https://xxx:30081”地址，登錄之后在管理界面左側選擇“所有項目”項。

在左下角點擊“新建”按鈕，在打開窗口中點擊“獨立虛擬機”項。

在右側點擊“快速創建”項，輸入虛擬機的名稱，選擇所需的模版，設置密碼后點擊“創建VM實例”按鈕，可以創建該虛擬機。

選擇具體的虛擬機，可以以圖表形式顯示該虛擬機的CPU使用百分比，內存使用情況，存儲I/O信息以及網絡I/O信息等。

同時可以查看虛擬機的運行狀態，主機名稱，操作系統類型，硬件參數等內容。

例如，窗口底部的按鈕，可以執行連接、暫停、重啟、關閉、停止和刪除虛擬機等操作。

此外，還可以根據需要調整虛擬機大小，添加網絡和磁盤，對磁盤空間進行擴展等。在左側選擇“網絡”項，在右側點擊“虛擬網絡”-“快速創建”項，輸入其名稱，地址空間和最大IP計數信息，點擊“創建”按鈕，創建該虛擬網絡。