Architecture Windows Azure Pack WebSites – Etape n°5 : Intégration avec Windows Azure Pack

C’est l’heure du retour de Windows Azure Pack. Les braises sont chaudes, prenez place sur le chevalet, la séance de torture va reprendre. Mais vous être là pour cela après tout?

On sait que le rôle Management assure la passerelle avec Windows Azure Pack et que ce dernier ne fonctionne qu’avec des Web Services communiquant entre eux. Logiquement, le Management Server héberge le Resource Provider attendu par Windows Azure Pack. Comme nous l’avons déjà vu, il y a beaucoup de certificats, trop souvent auto-signés. Le rôle Management n’échappe pas à cette règle. Lorsqu’on ouvre la console IIS sur ce serveur, on trouve un site Web nommé HostingManagementServices auquel est associé un certificat auto-signé. Beurk!

clip_image001

 

Nous allons le remplacer par un certificat délivré par notre autorité de certification interne.

clip_image002

 

Maintenant, on peut retourner dans Windows Azure Pack. Attention, ça va aller très vite. Dans le portail d’administration, on dispose d’un nœud « Web Site Clouds ». On peut référencer autant d’architectures Web Sites que l’on veut. On va commencer petit joueur, une seule suffira.

clip_image003

 

Référencer l’architecture Web Sites, c’est juste indiquer la localisation du Resource Provider que Windows Azure Pack devra prendre en compte et un contexte de sécurité. Attention, c’est le compte que nous avons déclaré lors de l’installation de l’architecture Web Sites pour accéder au Management Server.

clip_image004

 

Jusque-là, rien de bien compliqué. C’est trop simple me direz-vous? OK, corsons un peu la chose.

clip_image005

 

Avant d’aller plus loin, on va voir ce que cela a changé du point de vue de Windows Azure Pack avec une plongée dans le monde obscur des Resources Providers avec un peu de PowerShell. Je sais déjà qu’il se nomme Webspaces :

Import-Module MgmtSvcAdmin

$SecurePassword = ConvertTo-SecureString « ******** » -AsPlaintext -Force

$Cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList « Administrator@Windowsazurepack.lan »,$SecurePassword

$AdminAPIInfos = Get-MgmtsvcFQDN -NameSpace AdminAPI -Server SQL.WINDOWSAZUREPACK.LAN

$AdminURI = « https://$($AdminApiInfos.FullyQualifiedDomainName):$($AdminApiInfos.Port)« 

$WindowsAuthSite = Get-MgmtSvcFQDN -Namespace WindowsAuthSite -Server SQL.WindowsAzurepack.Lan

$WindowsAuthSiteUri = « https://$($WindowsAuthSite.FullyQualifiedDomainName):$($WindowsAuthSite.Port)« 

$Token = Get-MgmtsvcToken -type Windows -AuthenticationSite $WindowsAuthSiteUri -ClientRealm « http://azureservices/AdminSite » -User $Cred

$AllRps = Get-MgmtSvcresourceProvider -IncludeSystemresourceProviders -AdminUri $AdminUri -Token $Token

$AllRps | Where {$_.name -eq « webspaces »}

clip_image006

 

On découvre bien que nous avons bien un nouveau Resource Provider nommé « Webspaces ». Détaillons un peu sa configuration avec une petite commande PowerShell supplémentaire :

$AllRps | where {$_.name -eq « webspaces »} | Select Name, @{e={$_.AdminEndpoint.ForwardingAddress}},@{e={$_.TenantEndpoint.ForwardingAddress}},@{e={$_.UsageEndpoint.ForwardingAddress}},@{e={$_.NotificationEndpoint.ForwardingAddress}}

clip_image007

 

Si vous vous souvenez des autres Resources Providers, il y avait une même URL avec des ports distincts. Avec l’architecture Web Sites, c’est bien plus simple puisque qu’un seul Web Service gère tous les aspects (portail utilisateur, portail administration, mesure des usages, notification). Revenons dans le portail d’administration de notre Windows Azure Pack. On peut constater que via le rôle Management, nous sommes en mesure de piloter le contrôleur de l’architecture Web Sites, voire même de déclarer d’autres rôles.

clip_image008

 

Toutes les commandes dont nous disposions dans la console MMC sont ici aussi disponibles dans le portail d’administration de Windows Azure Pack. Par exemple, on peut ajouter un nouveau rôle Web-Worker.

clip_image009

 

Pour changer, on va mettre en œuvre une instance Reserved de taille Small.

clip_image010

 

Immédiatement, le déploiement commence. Par contre, comme nous l’avons déjà vu, il y a beaucoup de travail derrière.

clip_image011

 

Dans l’onglet Web Sites, on n’a pas grand-chose. C’est normal, nos locataire ne peuvent pas encore souscrire à ce service. Dans l’onglet Configure, on retrouve des éléments que nous avons déjà configuré lors de la mise en œuvre de l’architecture Web Sites. Cependant, il manque certains éléments. Le premier d’entre eux, c’est le certificat *.websites.windowsazurepack.fr utilisé par défaut par tous les sites web qui seront hébergés. Nous l’avons mise en œuvre sur les instances du rôle Font-End (il était exportable avec sa clé privée). Nous devons le déclarer au niveau de Windows Azure Pack.

clip_image012

 

C’est nécessaire car ce certificat sera mis en œuvre pour tous les sites web qui seront provisionnés par les locataires. Nous devons donc fournir le certificat au format PFX (avec la clé privée) ainsi que le mot de passe associé.

clip_image013

 

Nous devons faire de même pour le certificat mis en œuvre pour le rôle Web-Publisher.

clip_image014

 

Pour finaliser la configuration, on va reconfigurer l’URL de publication pour WebDeploy pour forcer l’usage de HTTPS. Pour la sécurité, c’est mieux. On n’oublie pas de cliquer sur le bouton « Save » pour enregistrer la nouvelle configuration.

clip_image015

 

Dans l’onglet Credentials, on retrouve les contextes de sécurité mis en œuvre dans l’architecture Web Sites, comme avec la console d’administration MMC.

clip_image016

 

L’intégration avec Windows Azure Pack n’était pas si compliquée que cela. On approche de la fin. Avant de pouvoir permettre à nos locataire d’utiliser l’architecture Web Sites, nous devons créer le plan quel le locataire pourra souscrire. C’est l’objet du prochain billet.

 

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)

Benoit

Simple, yes, Secure Maybe, by design for sure, Business compliant always!

Les derniers articles par Benoit (tout voir)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.