Дамир Диздаревич (ddamir@logosoft.ba) — менеджер учебного центра компании Logosoft в г. Сараево, Босния. Имеет звание MVP в области Windows Server Infrastructure Management и сертификаты MCSE, MCTS, MCITP и MCT
. Для начала хочу сделать несколько предварительных замечаний для тех, кто не знаком с назначением продукта App Controller.
Интегрированный портал управления App Controller предназначен для управления (прежде всего — в интересах владельцев приложений) приложениями и службами, развернутыми в инфраструктурах частных или общедоступных «облаков». Пакет обеспечивает универсальную среду самообслуживания, позволяющую настраивать, развертывать виртуальные машины и службы и управлять ими. Некоторые ошибочно полагают, что App Controller — не более чем альтернатива продукту VMM Self-Service Portal. Что ж, решение App Controller действительно выполняет эту функцию и может в той или иной мере заменить Self-Service Portal, но главная его задача не в этом. Если портал VMM Self-Service использовался главным образом для создания виртуальных машин и управления ими, то App Controller дополнительно берет на себя работу со службами и приложениями. App Controller позволяет пользователям работать с продуктами, развернутыми на виртуальной системе, не ограничивая их возможности взаимодействием с самой виртуальной машиной.
Чтобы разобраться с этой концепцией, нужно иметь представление о диспетчере VMM 2012. И хотя данная статья посвящена не VMM, я должен высказать несколько важных соображений, чтобы вы могли представить полную картину. Диспетчер VMM 2012 существенно отличается от версии VMM 2008 R2. Обновленная версия по-прежнему обеспечивает управление, а также развертывание хостов и виртуальных машин, но главная сфера ее применения — частные «облака» и шаблоны служб. Конечный результат состоит в том, что администратор или пользователь может развернуть службу либо приложение в частном «облаке», даже не имея четкого представления о его внутренних механизмах.
Ранее я отмечал, что App Controller можно применять для подключения как к частным, так и к общедоступным «облакам». Подключение к частному «облаку» сводится к установлению соединения с сервером управления VMM 2012 Management Server. Впрочем, вы можете в дополнение к App Controller оформить подписку на Windows Azure.
Администраторы не являются целевыми пользователями платформы App Controller, хотя некоторые задачи администрирования могут быть решены с помощью консоли App Controller. Разработчики пакета исходили из того, что им будут пользоваться владельцы приложений или служб, то есть люди, которые развертывают приложение или службу и управляют ими. Не путайте этих специалистов с конечными пользователями, которые фактически применяют ту или иную службу либо приложение. Конечным пользователям вообще не положено что-либо делать с App Controller. Владельцем продукта может быть администратор или же разработчик, которому требуется платформа для тестирования того или иного приложения. Ключевая идея в данном случае — это идея самообслуживания. App Controller дает владельцам приложений возможность развертывать новые экземпляры требуемой службы или приложения, не отвлекаясь на выполнение таких задач, как создание виртуальных машин, виртуальных жестких дисков Virtual Hard Disks (VHD) или сетей, либо установка операционных систем. Чтобы выйти на такой уровень автоматизации, администраторы должны проделать большой объем работ в VMM.
App Controller не в состоянии ни создавать конструкционные блоки для виртуальных машин или служб, ни управлять такими блоками. Этот пакет нельзя использовать и для создания «с нуля» новых объектов (исключение составляют лишь экземпляры служб). Все объекты, с которыми пользователь имеет дело при работе с App Controller, должны быть предварительно подготовлены средствами диспетчера VMM. Сказанное касается шаблонов виртуальных машин, профилей гостевых операционных систем, профилей аппаратных средств, профилей приложений и пакетов, логических сетей, а также файлов Sysprepped.vhd, образов ISO и объектов частных «облаков». Чтобы иметь возможность разворачивать службы средствами App Controller, администратор VMM должен создать шаблон соответствующей службы и ввести настройки развертывания. Роли самостоятельно обслуживающих себя пользователей тоже необходимо создавать средствами VMM, после чего эти роли должны быть ассоциированы с одним или несколькими частными «облаками» и квотами.
Продукт App Controller не наделен собственной инфраструктурой безопасности. Он полностью полагается на настройки безопасности VMM, так что возможности, открывающиеся перед пользователем App Controller, непосредственно определяются правами и разрешениями, назначенными этому пользователю диспетчером VMM. Проверка подлинности осуществляется с помощью формы через веб, но если вы хотите организовать единую процедуру регистрации single sign-on (SSO), то можете воспользоваться средствами проверки подлинности Windows, реализованными в службе Microsoft IIS.
Установка и первоначальная конфигурация
App Controller — продукт облегченный. Установочный образ занимает всего лишь 30 Мбайт дискового пространства и выполняется как веб-приложение стандарта Microsoft Silverlight. Контроллер можно установить на любой подключенной к домену системе Windows Server 2008 R2 с установленной на ней ролью Web Server. При этом вам понадобится платформа Microsoft. NET Framework 4.0, а также система Microsoft SQL Server. для создания базы данных App Controller. Здесь можете без опасений задействовать тот экземпляр SQL Server, который применяли для установки диспетчера VMM. При желании можно также установить пакет PowerShell Module for App Controller, если вы намерены управлять работой продукта с его помощью.
Программу App Controller можно устанавливать на той же системе, что и VMM Management Server; по-видимому, это один из самых распространенных вариантов. Однако если вы захотите развернуть App Controller в качестве автономного сервера, потребуется предварительно установить консоль управления VMM Management Console. Для обращения к App Controller вам понадобится веб-браузер с установленным на нем клиентом Silverlight. Более подробные сведения обо всех требованиях можно найти на странице Microsoft System Center App Controller System Requirements.
Установку App Controller выполнить довольно просто. Выбрав путь установки, настройте учетную запись, которую будет использовать служба App Controller. Здесь можно применить учетную запись Network Service (вариант по умолчанию) или указать доменную учетную запись (рассмотрите возможность применения учетных записей Managed Service), которую вы создаете для этой цели. Также можно изменить номер порта, используемого программой App Controller для осуществления внутренних коммуникаций (по умолчанию применяется порт 18622). Поскольку App Controller представляет собой приложение на базе веб, HTTP-трафик не допускается, и вам придется выбрать сертификат SSL. В процессе установки App Controller может создать сертификат с собственной подписью; кроме того, вы можете задействовать другой сертификат, например, выпускаемый частным удостоверяющим центром Certification Authority (CA). Наконец, следует выделить экземпляр SQL Server, который вы собираетесь использовать, и выбрать имя базы данных. Процедура завершается за одну-две минуты.
После установки App Controller первым делом необходимо войти в систему и подключиться к частному или общедоступному «облаку». Откройте сайт App Controller, зарегистрируйтесь на нем в качестве администратора и откройте страницу Overview.
Щелкните на пункте Connect to a Virtual Machine Manager server and clouds. На экране откроется новое окно, и вы сможете добавлять новые соединения VMM. Допускается добавление до пяти соединений VMM. Вводите полное доменное имя Fully Qualified Domain Name (FQDN) соответствующего VMM, а также имя соединения (последнее вы можете выбрать по своему усмотрению). Для номера порта оставьте значение по умолчанию (8100), если вы не изменили его на стороне VMM. Существует также возможность автоматического импорта сертификатов SSL с сервера VMM; она может понадобиться для импорта файлов и шаблонов с диспетчера VMM в программу App Controller. Если работа с этой функцией не вызывает у вас проблем, связанных с обеспечением безопасности, можете не отключать ее.
Наряду с подключением App Controller к диспетчеру VMM, вы можете установить соединение этой программы с Windows Azure, если являетесь подписчиком данной службы. Можно обойтись и без этого, но лучше установить такое соединение, если вы пользуетесь платформой Windows Azure. Процедура добавления Windows Azure сопряжена с некоторыми трудностями. Вам придется предложить имя соединения и ввести идентификатор подписчика Subscriber ID. Однако, поскольку у вас нет возможности автоматически импортировать сертификаты из Windows Azure, потребуется сначала перейти на портал Windows Azure Management Portal, выбрать пункты Hosted Services, Storage Accounts, перейти на вкладку CDN и затем в окне навигации выбрать пункт Management Certificate. В нем вы должны будете добавить сертификат к своей подписке на Windows Azure. Данная платформа позволит создавать собственные сертификаты управления; это могут быть сертификаты с собственной подписью или выпущенные предпочтительным удостоверяющим центром. Выбрав подходящий вариант, экспортируйте соответствующий файл. pfx и затем при настройке соединения с Azure выделите его в программе App Controller в качестве сертификата управления. App Controller сохранит этот сертификат в своей базе данных. Сертификат содержит закрытый ключ, поэтому необходимо задать пароль, чтобы контролер App Controller мог использовать данный закрытый ключ. С пошаговым описанием этой процедуры вы можете ознакомиться в статье "Q: How do I create a certificate to enable System Center App Controller to manage Windows Azure?"(http://www.windowsitpro.com/article/system-center/create-certificate-enable-system-center-app-controller-manage-windows-azure-142182).
Сертификаты используются для установления доверительных отношений между API управления Windows Azure и App Controller. Эти отношения позволят App Controller обращаться к интерфейсам прикладного программирования Windows Azure при выполнении таких задач, как развертывание служб или изменение свойств конфигурации в консоли App Controller. Сертификат управления (файл. cer) содержит лишь открытый ключ, хранимый в Windows Azure для обеспечения доступа к интерфейсам API. Процесс проверки полномочий можно завершить, передав открытый ключ системе Windows Azure и сохранив локальный статус закрытого ключа.
Просмотр консоли App Controller
Завершив первоначальную настройку программы App Controller, вы можете начать использовать ее консоль. Если вы зарегистрируетесь в программе App Controller с правами администратора, то сможете выполнять все предусмотренные задачи. Но, как уже отмечалось выше, работать с App Controller с полномочиями администратора нет особого смысла (если речь не идет о первоначальной настройке). Администраторы могут выполнять все задачи App Controller (а также многие другие) с консоли VMM. Чтобы предоставить другим пользователям (скажем, владельцам приложений и служб) право работать с консолью App Controller, первым делом добавьте их к пользовательской роли Self Service в диспетчере VMM. Затем определите диапазон, а также имеющиеся ресурсы (например, частные «облака», шаблоны виртуальных машин, средства хранения данных) для данной пользовательской роли. Задайте также квоты для наделенных правами самообслуживания пользователей, чтобы держать процесс потребления ресурсов под контролем. Если вы не выполните должным образом все эти указания, можете оказаться в ситуации, когда пользователи App Controller быстро захватят все имеющиеся ресурсы на хостах виртуальных машин, а это вряд ли тот сценарий, по которому вы хотели бы работать. Когда пользователь с правами самообслуживания регистрируется в системе App Controller, ему будут доступны только те ресурсы и действия, которые вы определили для данного пользователя в диспетчере VMM.
Когда пользователь регистрируется в системе App Controller, перед ним сразу открывается окно Overview, представленное на экране 1. В этом окне представлены сведения о состоянии доступных частных и общественных «облаков», а также о службах и виртуальных машинах, к которым данный пользователь имеет доступ. Здесь же размещены ссылки для быстрого развертывания новых служб или виртуальных машин. И если система подключена к Интернету, в окне Overview отображаются последние сообщения из блогов, имеющих отношение к продуктам пакета System Center, а также сообщения пользователей — участников форума VMM Forum, который функционирует на сайте Microsoft TechNet. Все эти сведения могут быть полезны, так что решение Microsoft включить в программу данную функцию можно только приветствовать. В этом же окне имеются ссылки на ресурсы с практическими советами по выполнению некоторых типичных задач — прекрасное подспорье для новых пользователей. Если вы войдете в систему с полномочиями администратора, то сможете из этого окна устанавливать соединения с диспетчером VMM или со службой Azure, а также создавать новые пользовательские роли и добавлять новые сетевые файловые ресурсы.
Экран 1. Окно Overview программы App Controller |
На экране 2 представлено следующее окно с именем Clouds. В этом окне пользователи портала самообслуживания могут видеть частные и общедоступные «облака», к которым они имеют доступ. Пользователи могут начать развертывание в «облаке» новой виртуальной машины или службы, а также управлять учетными записями для исполнения типа Run As. Если пользователь захочет развернуть новую виртуальную машину или службу из данной точки, система предъявит ему новую диаграмму развертывания, как показано на экране 3, после чего пользователь сможет выбрать подходящий шаблон виртуальной машины или службы и начать процесс развертывания. Из окна Clouds администратор может видеть все доступные частные и общие «облака».
Экран 2. Окно Clouds программы App Controller |
Экран 3. Новая диаграмма развертывания |
В окне Services, показанном на экране 4, отображаются службы и экземпляры служб, развернутые пользователями. Из этого окна пользователи могут развертывать и новые службы, открывать диаграммы существующих служб, а также запускать, останавливать, возобновлять или приостанавливать действие существующих служб или отключать их. Имейте в виду, что эти действия применяются к службам, но не к конкретным виртуальным машинам. Когда вы предпринимаете то или иное действие в отношении службы, это действие косвенным образом влияет на работу одной или нескольких виртуальных машин. Пример: допустим, вы решили отключить определенную службу. В результате все виртуальные машины, связанные с ней, будут остановлены. Объем полномочий того или иного пользователя напрямую определяется допустимыми действиями, предусмотренными в настройках пользовательской роли Self-Service, которые задаются в диспетчере VMM. Из рассматриваемого окна вы также можете инициировать обновление службы, выполнять коррекцию ошибок и удалять экземпляры служб. Администраторы могут видеть все службы, развернутые пользователями, с полным набором доступных действий.
Экран 4. Окно Services программы App Controller |
На вкладке Virtual Machines отображаются существующие виртуальные машины. Пользователи портала самообслуживания могут видеть только те виртуальные машины, которые находятся внутри диапазонов их пользовательских ролей, а также виртуальные машины, применяемые всеми службами, развернутыми соответствующим пользователем. Из этого окна пользователи могут выполнять те же действия, что и из вкладки Services, но теперь уже на базе той или иной виртуальной машины. Наряду с типовыми действиями, такими, как запуск, отключение, остановка и т.д., вы можете монтировать в виртуальной системе образ ISO и подключаться к десктопу VM с помощью протокола RDP, а также просматривать свойства виртуальной машины.
В окне Library, представленном на экране 5, пользователи портала самообслуживания получают доступ к ресурсам библиотеки VMM. С помощью данного окна можно просматривать совместно используемые шаблоны, а также обращаться к папкам общего доступа. Постоянные пользователи портала самообслуживания не имеют права произвольно вносить в эти объекты изменения, но могут применять наличные ресурсы для развертывания новых виртуальных машин и служб, а также для обращения к некоторым общедоступным файлам. Администраторы могут задействовать окно Library для создания новых разделяемых ресурсов, доступных в App Controller, и для внесения определенных изменений в соответствующие ресурсы. Наряду с этим окно Library демонстрирует наличные ресурсы общедоступного «облака» (Azure) и дает администраторам возможность создавать новые учетные записи хранения, а также просматривать хранилища образов.
Экран 5. Окно Library программы App Controller |
Последнее окно консоли App Controller — окно Jobs (экран 6). Если отвлечься от некоторых деталей, окно обеспечивает выполнение тех же функций, что и окно Jobs диспетчера VMM. Каждый пользователь портала самообслуживания может просматривать инициированные им задания, а администраторы — просматривать все задания, выполненные средствами App Controller. Вы можете также исследовать детали каждого задания.
Экран 6. Окно Jobs программы App Controller |
В консоли App Controller имеется еще одно окно, но оно доступно лишь администраторам. Окно Settings позволяет администраторам управлять соединениями с частными «облаками», а также подписками на частные «облака». Кроме того, администраторы могут использовать окно Settings для создания ролей User. Однако в отличие от других ролей данные роли не связаны с диспетчером VMM. Создаваемые здесь пользовательские роли не синхронизируются с содержимым VMM; к тому же в этом окне не отображаются пользовательские роли VMM. Назначение пользовательских ролей в App Controller состоит в том, чтобы обеспечить пользователям доступ к инфраструктуре частных «облаков». Поскольку пользователи портала самообслуживания не могут добавлять соединения к общедоступным «облакам» или непосредственно задействовать соединения, установленные администраторами, данное окно является единственным средством предоставления таким пользователям доступа к ресурсам общедоступных «облаков». Однако вследствие того, что при работе с пользовательскими ролями VMM, с одной стороны, и пользовательскими ролями App Controller — с другой — применяется одна и та же терминология, у пользователей могут возникать определенные затруднения.
Продукт на каждый день — и впрок
Нет сомнения в том, что App Controller — решение полезное. Оно не предназначено для того, чтобы стать незаменимым для всех пользователей, но если вы хотите применять функцию самообслуживания и у вас имеются сотрудники, обладающие достаточной квалификацией для работы с App Controller, данное решение может сослужить вам хорошую службу. Компаниям, имеющим подобные намерения, вероятно, понадобится также диспетчер System Center Service Manager, который может обеспечить дополнительный уровень средств управления, организации запросов и санкционирования новых виртуальных сред. В отрасли начинается переход к концепции служб и приложений, но завершится этот процесс еще нескоро. В этом плане App Controller определенно относится к категории продуктов следующего поколения. Однако вы можете использовать его уже сейчас в качестве альтернативы порталу VMM Self-Service Portal, даже если пока не хотите переходить на службы.