Windows Azure Connect permite una conexión segura entre la nube y plataformas on-premise, utilizando protocolos estándar de IP. Permite a roles de Windows Azure conectividad externa y a máquinas locales acceso a la nube. La configuración y administración de redes se realiza a través del portal de Windows Azure.

1. rgonzalez@mvps.org
rgonzalez@synergytpc.com
http://twitter.com/#!/rgonv

2. Agenda
• Cloud computing scenarios
• What is Windows Azure Connect?
• Deployment in WA
• Deployment OnPremise
• Windows Azure Connect Capabilities
• Roadmap
• Conclusions

3. Cloud spectrum
Windows Azure
Windows Server Windows Azure
Appliance
Applicacio Servicios de
Aplicaciones
nes VA Servicios de Valor Agregado

4. Pensando en la nube

5. Pensando en la nube
El estado debe ser replicado, por la aplicacion directamente o en
Datos de Aplic.
un almacenamiento replicado.
Configuracion & La configuracion debe ser simple y rapida, no un proceso
Installacion complejo de instalacion
Escalabilidad La Aplicacion debe escalar horizontalmente y no verticalmente
La aplicacion debe poder ejecutar en la nube sin dependencias
Dependencias
especiales de Hardware
La nube compartida puede no garantizar una latencia uniforme o
Latencia
baja entre los componentes
Debe haber claridad en los requerimientos de
Conectividad
conectividad intra e inter aplicacion
Sensibilidad de Las nubes publicas pueden no estar capacidtadas para hospedar
Datos los datos sensibles, puede requerirce encripcion
Regulacion La ubicacion y el tipo de nube importa

6. Federación segura de la nube

7. Que es Windows Azure Connect?
• Conexión segura entre la nube y la plataforma on-premise
– Soporta protocolos estándar de IP
• Ejemplo de usos:
– Aplicación empresarial migrada a WA, que requiere acceso a una
instancia de SQL Server on-premise
– Aplicación en Windows Azure que se conecta a un Directorio Activo
corporativo
– Administración remota y solución de problemas de roles Windows
Azure
• Configuración y administración sencilla

8. Windows Azure
Enterprise

9. Windows Azure Connect
• Permite a roles de Windows Azure conectividad externa vía el
modelo se servicios
• Permite a las maquinas locales (on-premise) conectividad
utilizando el WA Connect agent
• Las políticas de red se pueden administrar vía el portal de
Windows Azure
– Control granular sobre la conectividad
• Configuración automática de redes seguras a nivel de IP entre
roles y maquinas locales
– Utiliza túnel a través de firewall/NAT
– Asegurado con IPSec punto a punto
– Resolución de nombres con DNS

10. Uso de Windows Azure Connect
• Para utilizar WA Connect con un Servicio en WA, se
deben habilitar uno o mas de sus roles
– Para roles Web & Worker, se debe incluir el plug-in de
Connect como parte del Modelo de Servicio(.csdef)
– Para un rol de VM, se debe instalar el agente de Connect en
la imagen VHD utilizando el paquete de instalación para VM
– El agente de Connect se desplegara automáticamente cada
vez que una instancia de rol se inicia

11. Uso de Windows Azure Connect
• La configuración del agente de Connect se administra
a través del archivo de configuración de servicio
(.cscfg)
– Se requiere el parámetro - “ActivationToken”
• Único por suscripción, asequible desde la interfaz de administración
– Parámetros opcionales para administrar la unión a
Directorio Activo y relacionados a la disponibilidad del
servicio

12. Despliegue On-Premise
• Las maquinas locales pueden conectarse instalando y activando el agente
de Connect
– Instalación basada en Web
• Se obtiene desde la interfaz de administración
• Contiene el token de suscripción embebido en el URL
– Paquete de instalación
• Lee el toquen a partir del registro de Windows
• Permite la instalación utilizando herramientas de distribución de software existentes

13. Despliegue On-Premise
• Icono del agente e interfaz grafica
– Visualiza el estado de activación y conectividad
– Refresca la política de red
• Automáticamente administra la conectividad de red
– Crea un adaptador de red virtual
– Se conecta automáticamente al servicio de Connect Relay
– Configura la política de IPSec basado en la política de red
– Permite la resolución de nombres por DNS
– Sincroniza automáticamente las políticas de red

14. Administrando la política de red
• A través del portal de administración de Windows Azure
• Se administra a nivel de suscripción
• Las maquinas locales se organizan en grupos
• P.E “SQL Servers”, “My Laptops”, “Project X”
• Una maquina puede pertenecer a un solo grupo a la vez
• Las nuevas maquinas no tienen grupo por defecto
• Los Roles de WA pueden ser conectados a los grupos
• Permite la conectividad entre las instancias de roles y las maquinas locales
en el grupo
• Connect no controla la conectividad entre roles (se hace con los
mecanismos existentes)

15. Administrando la política de red
• Los grupos pueden ser conectados a otros grupos
• Permite conectividad de red entre maquinas de cada grupo
• Adicionalmente, un grupo puede ser “interconectado”, lo cual permite
conectividad al interior del grupo
• Útil para escenarios de roamming y otros casos ad-hoc

16. Política de Red
Windows Azure
Role A Role B
Instance3
Instance2 Instance3
Instance2
Instance Instance
My Servers My Laptops
SERVER1
DEV_LAPTOP1
SERVER2 SERVER3 DEV_LAPTOP2

17. Comportamiento de red
• Los recursos conectados tienen conectividad de red segura a nivel
de IP
• Independiente de la topología física de red, hasta que se conecta vía
SSL con el Servicio de relay
• Cada maquina tiene una dirección IPV6
• El agente de Connect configura el adaptador de red virtual
• No modifica las redes existentes (usa un modelo aditivo)
• La comunicación entre recursos es segura vía certificados IPSec
• Se enfocan en la conexión de la red virtual
• Administración automática de certificados IPSec
• Resolución de nombres de los recursos conectados se basa en el
nombre de las maquinas
• Windows Azure  maquina local
• Maquina local  Windows Azure

18. Conexión a un Active Directory
• Permite a los roles de WA unirse a un dominio OnPremise
• Esto permite:
• Iniciar sesión en las instancias de roles usando cuentas de dominio
• Conectar SQL server OnPremise con Autenticación integrada
• Migrar aplicaciones de negocio a la nube que asumen un ambiente unido a un
dominio
• Como se hace?
• Se instala el agente de Connect en el servidor(es) DC / DNS
o Para ambientes con múltiples DC se recomienda un sitio dedicado
• Se configura el plug-in de Connect para conectar automáticamente las instancias del
role al Directorio Activo
o Se especifican las credenciales para la operación de unión
o Se especifica la unidad organización destino
o Se especifica una lista de usuarios /grupos de dominio para ser adicionados a los
administradores locales
• Se configura la política de red para permitir la conectividad entre los roles de WA y
los servidores DC / DNS
• Las nuevas instancias del rol se conectaran automáticamente al dominio

19. El roadmap de WA Connect
• Se dispone de un CTP ahora
• Agente OnPremise para recursos “no Azure”
o Soporta Windows Server 2008 R2, Windows Server
2008, Windows 7, Windows Vista SP1, y superiores
o Se utiliza inscribiéndose en la sección de programas Beta
del portal administrativo
• Versiones futuras
• Permitirán la conectividad utilizando dispositivos de
VPN existentes OnPremise

20. Conclusiones
• WA Connect es la manera de implementar
escenarios híbridos para Windows Azure
• Acceso seguro desde OnPremise a WA y
viceversa
• Funcionalidad completa aprovechando
características de DNS, IPv6, IPSec
• Esta evolucionando para ser aun mas
transparente