Architettura IT: La nuova veste dell'IT
Un framework basato su cloud in esecuzione su una rete di server virtuali è che il nuovo look del moderno e infrastrutture.
Paul Yu
Considerando le tendenze principali dell'industria e la tecnologia cambia rapidamente il panorama, CIOs e tecnologia leader hanno l'opportunità di ripensare il suo ruolo nella loro strategia organizzativa. Lavorando con la divisione di servizi Microsoft, essi possono adottare un'infrastruttura basata su cloud che si massimizza gli investimenti. Microsoft Services prende una strategica, agile ed economico approccio per lo sviluppo e la distribuzione di tali strutture.
Come un riferimento architettonico per altre organizzazioni attente alla sicurezza, esaminiamo quello di Microsoft ha portato servizi di distribuzione per un cliente di governo civile federale. Degno di nota sfaccettature di questa architettura IT includono una strategia di piattaforma Microsoft-messo a fuoco, un nube-primo approccio ad esso, un'impronta di minimal datacenter server, affidabilità del servizio e sicurezza end-to-end. Tutti architettura pianificazione, distribuzione e componenti descritti qui sono stati consegnati da ingegneri e consulenti Microsoft.
Catturare la nuvola
Un aspetto centrale della strategia di architettura di questo cliente coinvolge servizi cloud di Microsoft, particolarmente Office 365 per le imprese e System Center Advisor. Questi servizi forniscono produttività aziendale familiare e gli strumenti di gestione, ridurre i costi di gestione ed e aumentando l'agilità e affidabilità. Exchange Online e Office Professional Plus sono stati distribuiti a livello di organizzazione.
Il cliente utilizza tutte le funzionalità Exchange Online generale, come ad esempio l'accesso a e-mail, calendario e contatti sui dispositivi e computer. Utilizza anche caratteristiche critiche per facilitare il rispetto di sicurezza e linee guida di controllo e integrazione con altre piattaforme di enterprise. Queste caratteristiche includono criteri di memorizzazione dei messaggi e servizi di scoperta per electronic discovery, Hosted Encryption per i messaggi crittografati con destinatari esterni, Allow/Block/quarantena (ABQ) per la gestione dei dispositivi abilitati per ActiveSync granulare, e integrazione di messaggistica unificata con il cliente locale infrastruttura Lync.
Advisor è un altro servizio chiave cloud che il cliente utilizza per raccogliere dati da server Microsoft locali. Il cliente può anche generare avvisi per identificare problemi o deviazioni per quanto riguarda la configurazione e l'utilizzo. Il servizio gateway di consigliere locale, che è un servizio obbligatorio, risiede su un server di applicazione System Center 2012 multiruolo con Windows Server 2008 R2 SP1.
Su tutti i server sono installati i client Advisor. In questo modo il monitor azienda OS, Active Directory, host Hyper-V, SQL Server 2008 R2 e Lync Server 2010 carichi di lavoro. Il cliente può visualizzare avvisi e ottenere indicazioni di bonifica collegando il portale Advisor online dal browser Web.
Oltre ai servizi cloud-based, ci sono un certo numero di servizi locali per la virtualizzazione, directory e Federazione, infrastruttura a chiave pubblica (PKI), rete, gestione unificata delle comunicazioni e dei sistemi. Il cliente ha avuto questi servizi implementati attraverso un ibrido dei server fisici e virtuali, che sono standardizzati su Windows Server 2008 R2 SP1 Datacenter ed Enterprise Editions.
Servizi di virtualizzazione
Virtualizzazione server notevolmente migliora l'efficienza delle risorse di elaborazione disponibili e riduce l'overhead amministrativo di manutenzione del server fisico. Questo è un elemento notevole di infrastrutture locali del cliente. Ci sono due coppie di host Hyper-V dedicati, ogni esecuzione Windows Server 2008 R2 SP1 Datacenter Edition.
Due dei server host solo interne macchine virtuali (VM) e fornire caratteristiche chiave come Cluster Shared volume (CSV) con VM live migration. Gli altri due sono server autonomi e rete perimetrale host VMs. Tutti gli host Hyper-V in ambiente utilizzano cluster storage SAN.
Servizi di dominio Active Directory
Come con la maggior parte delle organizzazioni, servizi di Active Directory locale esistono per fornire un numero di funzionalità relative all'identità. Centrale di queste funzionalità sono attivi servizi di dominio di Directory (AD DS), che forniscono servizi di directory localizzate e un single sign-on (SSO) approccio critico per l'autenticazione di Office 365. Ci sono due dedicati AD DS controller di dominio che forniscono servizi DNS per l'intera organizzazione e directory. Uno è un server fisico e l'altro è un VM.
Active Directory Federation Services
In collaborazione con Active Directory, in Active Directory Federation Services (ADFS) 2.0 fornisce un approccio SSO per Office 365 dalla Federazione con il Microsoft Federation Gateway. In questo modo tutti gli utenti del cliente, cui identità sono basati su un dominio federato, utilizzare loro on-premise credenziali di Active Directory per autenticare automaticamente ai servizi online.
Un altro aspetto chiave di AD FS 2.0 è l'insieme delle regole di politica di accesso client che limitano l'accesso in base alla posizione del computer o del dispositivo che effettua la richiesta. Questo assicura che nessun computer — ad eccezione dei dispositivi di accesso a Exchange Online per Exchange ActiveSync— può mai accesso servizi di Office 365 a meno che tali servizi sono situati sulla rete dell'organizzazione.
Per fornire servizi di federazione, ADFS viene eseguito su due coppie separate di server dedicati. Una coppia ha due server di Federazione virtuali configurati con Network Load Balancing (NLB). L'altro è una coppia di stand-alone, con server proxy virtuale che si trova nella rete perimetrale, anche in una configurazione di bilanciamento carico di rete.
Sincronizzazione delle directory
Lavorando con Active Directory e ADFS, ci sono anche directory synchronization services on-premise a supporto SSO per Office 365. Il cliente utilizza lo strumento di sincronizzazione della Directory Microsoft Online Services per sincronizzare i dati di Active Directory locale — che comprende gli utenti, gruppi e contatti — con infrastruttura directory Office 365. Identità sono autorevoli, gestito e masterizzato solo locali. Servizi di sincronizzazione di directory vengono installati su un server singolo, dedicato, virtuale.
Servizi certificati Active Directory
Perché questo cliente è un'agenzia federale civile, deve supportare Homeland Security Presidential direttiva 12 (HSPD12) con controlli di accesso logico per tutti i computer del dominio. Fatta eccezione per alcuni conti altamente protetti, tutti gli account di amministratore di Active Directory Certificate Services (AD CS) utilizzato per amministrare ordinariamente dell'infrastruttura dell'organizzazione vengono applicate con identità personale verifica (PIV) smart card logon solo.
Tutte le workstation sono applicate anche con solo accesso con smart card PIV. Tutti i computer in questa agenzia hanno Federal Information Processing Standard (FIPS) 201-compatibile con software di terze parti PIV middleware installato.
C'è anche un modulo di protezione di terze parti hardware (HSM), che fornisce FIPS 201-compatibili basato su hardware servizi di crittografia. Il cliente usa questo in collaborazione con diverse macchine virtuali dedicati a sostenere la sua topologia server PKI. Servizi AD CS root certificate authority (CA) risiedono su un server offline, standalone virtual CA. Il CS di annuncio che emette servizi CA è su un server virtuale di CA. Infine, i servizi certificati revocation list (CRL) distribuzione punto (CDP) sono su un server Web virtuale.
Servizi di rete
C'è una coppia di multiruolo server virtuali distribuiti per fornire servizi di rete comuni quali Dynamic Host Configuration Protocol (DHCP), file e servizi di stampa e documenti. DHCP Server viene distribuito attraverso ogni server per fornire la tolleranza di errore maggiore e sfrutta una configurazione di 80/20 per bilanciare la distribuzione ambito degli indirizzi.
C'è sia la replica di File System distribuito (DFS) (DFS-R) e spazi dei nomi DFS distribuito attraverso entrambi i server per fornire un accesso altamente disponibile e semplificato ai file. Per incrementare le prestazioni e la disponibilità, Reindirizzamento cartelle e file offline sono anche distribuiti tramite criteri di gruppo di workstation. Questo reindirizza il percorso delle cartelle locali, ad esempio documenti, una destinazione cartella DFS Namespace, mentre la memorizzazione nella cache contenuto localmente.
Infine, stampa e documento servizi configurati su un singolo server per condividere le stampanti sulla rete, impostare i server di stampa e centralizzare le attività di gestione di rete della stampante.
Unified communications
L'Agenzia ha istituito una rete di comunicazione a livello di organizzazione, unificato basata su Lync Server 2010. Esso ha distribuito questi servizi attraverso sei server dedicati virtuali, ognuno con ruoli specifici. Due virtual server Standard Edition forniscono funzionalità di messaggistica immediata, presenza, conferencing e voce. Questi server sono ospitati attraverso host Hyper-V cluster per garantire resilienza voce.
Le funzionalità di videoconferenza Enterprise Voice e dial-in esecuzione su un singolo Server virtuale di mediazione. Questo si traduce di segnalazione e fornitore di servizi di media per un tronco di Session Initiation Protocol (SIP) dalla telefonia Internet dell'organizzazione. Un terzo locale session border controller supporta anche connettività di trunk SIP al Server di mediazione come parte dell'infrastruttura SIP trunk.
Ci sono terze parti desktop e comune area che IP telefoni ottimizzati per Lync distribuiti in tutto l'organismo. Questi telefoni eseguire il client Lync Phone Edition e sono direttamente legati alle workstation per fornire funzionalità avanzate di integrazione Lync.
Un quarto virtuale Monitoring Server fornisce servizi di monitoraggio. Questo server raccoglie dati circa la qualità dei supporti di rete, come pure chiamata errore records e call detail records. Questa informazione viene utilizzata per risolvere i problemi di chiamate non riuscite e misurare i livelli di utilizzo per le varie funzionalità di Lync Server. Per servizi richiesti SQL, Monitoring Server utilizza una telecomando dedicata SQL Server 2008 R2 SP1 Enterprise Edition istanza in esecuzione su un server fisico multiruolo.
L'ultimo set di Lync Server sono una coppia di standalone, virtual edge server che risiedono nella rete perimetrale. Questi server eseguiti le funzionalità di Exchange Online Unified Messaging, come chiamano le notifiche e la voce accesso ai servizi (che includono voicemail).
Gestione integrata
Per una piattaforma di gestione integrata che copre il datacenter server e i dispositivi client, il cliente utilizza System Center 2012. I componenti principali dell'infrastruttura gestione e strumenti aiutano con la configurazione, monitoraggio e operazioni. Questi componenti sono distribuiti attraverso tre server dedicati virtuali, ogni utilizza un'istanza remota di SQL Server 2008 R2 Enterprise Edition in esecuzione su un server multiruolo, fisico.
System Center 2012 Configuration Manager e System Center 2012 Endpoint Protection forniscono infrastruttura unificata per gestire e proteggere ambienti fisici e virtuali client dell'organizzazione. Configuration Manager gestisce centralmente tutti gli aggiornamenti software, distribuzione dell'applicazione, reporting ed endpoint security. Tutti i computer nell'ambiente hanno il Configuration Manager ed Endpoint Protection Client installati, inclusi reti perimetrali.
L'agenzia inoltre utilizza le impostazioni di conformità insieme a Baseline security Security Compliance Manager (SCM) 2.5. Tutti i server nell'ambiente sono temprati con la base dei server membro SCM. Perché SCM offre rispetto a pacchetti di configurazione impostazione, Configuration Manager valuta regolarmente e report sulla conformità di sicurezza SCM per tutti i server.
System Center 2012 Data Protection Manager (DPM) gestisce la protezione dei dati basata su disco e recupero per tutti i server. Simile a Configuration Manager, client DPM è necessaria su tutti i server, tra cui reti perimetrali.
System Center 2012 Operations Manager gestisce servizi di monitoraggio critici. Basato su formule regole personalizzate, che genera avvisi per specifiche situazioni di disponibilità, prestazioni, configurazione e protezione. Per esempio, gli amministratori sono e-mail ogni volta che specifici gruppi di amministratori del servizio Active Directory e gli account vengono modificati o quando certe Active Directory service administrators accede alla rete. Operations Manager fornisce anche una notifica quando i server critici, quali controller di dominio, sono chiuso e riavviato.
Presso l'ufficio e in movimento
Per postazioni di lavoro, il cliente utilizza una soluzione docking e portatile come un tradizionale desktop replacement. Tutte le workstation eseguire un'immagine personalizzata di Windows 7 SP1 che include applicazioni di produttività fondamentali, ad esempio Office 365 Outlook Professional Plus e il client Lync 2010.
Inizialmente creato on-premise, Microsoft immagine Deployment Solution Accelerator fornisce aggiornamenti trimestrali gestiti. Per la distribuzione di workstation, il cliente utilizza la distribuzione del sistema operativo di gestione configurazione. In questo modo, è possibile distribuire workstation ovunque sulla rete aziendale.
Ci sono un certo numero di diversi controlli applicati alle configurazioni di sicurezza. Per controllare l'accesso, tutte le workstation impiegano lettori di smart card integrato, FIPS 201-terzi PIV middleware software conforme a e le generali l'applicazione di accesso smart card PIV. Le impostazioni di criteri di gruppo con restrizioni e gli elementi preferenza utente locale e gruppo gestire centralmente tutti gli utenti locali, gruppi, appartenenze e le password.
Per l'indurimento generale, tutte le workstation utilizzano le impostazioni National Institute of Standards and Technology (NIST) degli Stati Uniti governo configurazione Baseline (USGBC) Group Policy. Il cliente è attualmente in attesa di un aggiornamento alle estensioni System Center Configuration Manager per la convalida di USGBC Security Content Automation Protocol reporting che supporta le versioni attuali di Configuration Manager e client Windows.
Il client di System Center 2012 Endpoint Protection è installato su tutte le workstation, come pure tutti gli altri computer. Questo fornisce funzionalità critiche, ad esempio l'integrazione di Windows Firewall, ispezione di rete e un antivirus, motore di protezione anti-malware. BitLocker Drive Encryption fornisce protezione dei dati ed è necessario su tutte le workstation. Dati scrivendo restrizione delle impostazioni criteri di gruppo richiedono tutte le unità di archiviazione rimovibili per essere configurato con BitLocker To Go.
Dispositivi mobili che eseguono Windows Phone 7.5 sono rilasciati a tutti gli utenti di agenzia. Microsoft Office Mobile include le versioni mobile delle applicazioni Office. Exchange ActiveSync fornisce assicurata la sincronizzazione con Exchange Online di Office 365 e politiche rigorose-accesso al dispositivo, quali requisiti di password complesse, alfanumerici, dispositivo messa in quarantena e funzionalità di Information Rights Management (IRM).
Così, come potete vedere, questa agenzia governativa ha distribuito una sofisticata infrastruttura IT, costituito da elementi virtuali e cloud-based da sia lato server sia lato client. Questo è un ottimo esempio di un ambiente IT veramente moderno.
.jpg)
Paul Yuè consulente senior all'interno di Microsoft Services e un'architettura IT e consulente di pianificazione. Ha lavorato presso Microsoft per 13 anni, fornendo architettura di soluzioni enterprise per aziende commerciali e le organizzazioni del settore pubblico. Contattarlo al Paul.Yu@microsoft.com.