Contoso en la nube de implementar la nube de Microsoft ...download.microsoft.com/download/7/4/C/74CA4F67-9856-4871-8B4… · continentes se transmite a través de la red en la nube
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Método de una organización global
ficticia, aunque representativa, para
implementar la nube de Microsoft
Contoso en la
nube de
Microsoft 1 2 3 4 5Este es el tema 1 de una serie de 6
Contoso Corporation
Organización mundial de Contoso
Elementos de la implementación de Contoso de la nube de Microsoft
Redes
Las redes incluyen conectividad con las
ofertas de la nube de Microsoft y ancho
de banda suficiente para soportar cargas
máximas. Algunos tipos de conectividad
se ofrecerán a través de conexiones de
Internet locales y otras a través de la
infraestructura de red privada de
Contoso.
Identidad
Contoso usa un bosque de Windows Server AD
para su proveedor de identidades interno y
también se federa con proveedores de terceros
para obtener clientes y partners. Contoso debe
aprovechar su conjunto de cuentas interno
para las ofertas de nube de Microsoft. El
acceso a aplicaciones basadas en la nube para
clientes y partners debe aprovechar también
los proveedores de identidades de terceros.
Seguridad
La seguridad de datos e identidades
basados en la nube debe incluir
protección de datos, administración de
privilegios administrativos,
reconocimiento de amenazas e
implementación de directivas de control
y seguridad de datos.
Administración
La administración de aplicaciones basadas
en la nube y las cargas de trabajo de SaaS
necesitarán la capacidad para mantener
opciones de configuración, datos,
cuentas, directivas y permisos, así como
para supervisar el estado y el rendimiento
continuos. Las herramientas de
administración del servidor existentes se
usarán para administrar máquinas
virtuales en IaaS de Azure.
Los arquitectos de TI de Contoso han identificado los siguientes elementos al planear la adopción de las ofertas de nube de Microsoft.
Identidad de nube de Microsoft
para arquitectos de empresa
Identidad de nube de Microsoft
para arquitectos de empresa
Microsoft Cloud Networking
para arquitectos profesionales
Microsoft Cloud Networking
para arquitectos profesionales
Seguridad en la nube de
Microsoft para arquitectos
profesionales
Seguridad en la nube de
Microsoft para arquitectos
profesionales
Las oficinas de Contoso en todo el mundo siguen un diseño de tres niveles.
Contoso Corporation es una empresa global con sede en París, Francia. Es una organización conglomerada de fabricación, ventas y soporte técnico con más de 100 000 productos.
Para adoptar una infraestructura de nube inclusiva, los ingenieros de red de Contoso se dieron cuenta
del cambio fundamental en el modo en que el tráfico de red se desplaza a los servicios basados en la
nube. En lugar de optimizar solo el tráfico a los servidores y centros de datos locales, debe prestarse la
misma atención a la hora de optimizar el tráfico a la red perimetral de Internet y en Internet.
Método de una organización global
ficticia, aunque representativa, para
implementar la nube de Microsoft
Infraestructura de aplicaciones
de Contoso
Contoso tiene la siguiente infraestructura de red.
Red local
Los vínculos WAN conectan la sede de París con las oficinas regionales, y las oficinas regionales con las oficinas satélite en una configuración radial.
Dentro de cada oficina, los enrutadores entregan el tráfico a los hosts o a los puntos de acceso inalámbrico en las subredes, que usan el espacio de direcciones IP privadas.
Conectividad de Internet
Cada oficina tiene su propia conectividad de Internet a través de un servidor proxy.
Suele implementarse como un vínculo WAN a un ISP local que también proporciona direcciones IP públicas para el servidor proxy.
Presencia de Internet
Contoso posee el nombre de dominio público contoso.com.
El sitio web público de Contoso para pedir productos es un conjunto de servidores en un centro de datos conectado a Internet en las instalaciones de París.
Contoso usa un intervalo de direcciones IP públicas /24 en Internet.
Servidores de
aplicaciones
regionales
Servidores de
aplicaciones
regionales
Centros de datos
de aplicaciones
centrales
Centros de datos
de aplicaciones
centrales
Oficina satéliteOficina satélite
Servidor de
almacenamiento
en caché
Servidor de
almacenamiento
en caché
Contoso ha diseñado su infraestructura de servidores
y aplicaciones para lo siguiente:
Las oficinas satélite usan servidores de almacenamiento
en caché locales para almacenar documentos y sitios web
internos a los que se accede frecuentemente.
Los hubs regionales usan servidores de aplicaciones
regionales para las oficinas regionales y satélite. Estos
servidores se sincronizan con los de la sede de París.
Las instalaciones de París tienen los centros de datos que
contienen los servidores de aplicaciones centralizados
que sirven a toda la organización.
Para los usuarios de oficinas de hubs regionales o satélite, el
60 % de los recursos que necesitan los empleados pueden
obtenerse de los servidores de oficinas de hubs regionales
o satélite. El 40 % adicional de solicitudes de recursos debe
realizarse a través del vínculo WAN en las instalaciones de
Uso de ExpressRoute por parte de ContosoExpressRoute es una conexión WAN dedicada desde su ubicación en una
ubicación de emparejamiento de Microsoft que conecta su red a la red en la
nube de Microsoft. Las conexiones de ExpressRoute proporcionan un
rendimiento predecible y un SLA de tiempo de actividad del 99,9 %.
Con una conexión de ExpressRoute, se conecta a la red en la nube de Microsoft
y a todas las ubicaciones de centros de datos de Microsoft del mismo
continente. El tráfico entre la ubicación de emparejamiento en la nube y el
centro de datos de Microsoft de destino se realiza a través de la red en la nube
de Microsoft.
Con ExpressRoute Premium, puede llegar a cualquier centro de datos de
Microsoft de cualquier continente y desde cualquier ubicación de
emparejamiento de Microsoft de cualquier continente. El tráfico entre
continentes se transmite a través de la red en la nube de Microsoft.
Optimizar los equipos de los empleados
para el acceso a Internet
Se comprobarán los equipos individuales para
garantizar que la pila de TCP/IP más reciente,el
explorador, los controladores NIC
y las actualizaciones de seguridad y del sistema
operativo estén instalados.
1 Analizar el uso de la conexión a Internet en
cada oficina y aumentarlo según sea
necesario
Se analizarán todas las oficinas para conocer el
uso actual de Internet y el ancho de banda del
vínculo WAN aumentará si funciona con un uso
del 70 % o superior.
2 Analizar los sistemas de red perimetral en
todas las oficinas para conseguir un
rendimiento óptimo
Se analizarán los firewall, los IDS y otros
sistemas de la ruta de acceso de Internet para
conseguir un rendimiento óptimo. Los
servidores proxy se actualizarán según sea
necesario.
3
Ruta de acceso de Contoso para la preparación de redes en la nube
Estos son los resultados del análisis de Contoso de los cambios necesarios en su red para
adaptarse a las diferentes categorías de ofertas de nube de Microsoft.
Una adopción satisfactoria de los servicios SaaS por parte de los usuarios depende de una conectividad a Internet (o directamente a los servicios en la nube de Microsoft) de alto rendimiento y disponibilidad.
En el caso de los usuarios móviles, se supone que disponen de un acceso a Internet adecuado.
Para los usuarios de la intranet de Contoso, cada oficina debe analizarse y optimizarse para la producción en Internet y los tiempos de retorno para el centro de datos europeo de Microsoft que hospeda los inquilinos de Office 365, EMS y Dynamics 365.
Ofertas de nube de SaaSOffice 365, EMS y Dynamics 365
Para mejorar el soporte técnico para los trabajadores móviles, las aplicaciones heredadas y algunos sitios de uso compartido de archivos se están rediseñando e implementando como aplicaciones PaaS de Azure. Para conseguir un rendimiento óptimo, Contoso planea implementar las nuevas aplicaciones de varios centros de datos de Azure en todo el mundo. Azure Traffic Manager envía solicitudes de aplicaciones cliente, tanto si provienen de un usuario móvil o de un equipo en la oficina, al centro de datos de Azure más cercano que hospeda la aplicación.
El departamento de TI deberá agregar rendimiento de aplicaciones PaaS y distribución del tráfico a su solución de supervisión del estado de la red.
PaaS de AzureAplicaciones móviles
Para mover algunos servidores heredados y de archivo fuera de las instalaciones de París y agregar servidores según sea necesario para el procesamiento de fin de trimestre, Contoso planea usar máquinas virtuales que se ejecutan en servicios de infraestructura de Azure.
Las redes virtuales de Azure que contienen estos servidores deben diseñarse para espacios de direcciones que no se superponen, enrutamiento y DNS integrado.
El departamento de TI debe incluir estos nuevos servidores en su sistema de administración y supervisión de la red.
IaaS de AzureCargas de trabajo basadas en servidor
Análisis de red de Contoso
De acuerdo con el análisis del tráfico actual y futuro para las ofertas de nube de Microsoft y sus
requisitos de alta calidad de servicio para las comunicaciones basadas en Skype, Contoso ha
realizado una evaluación de la red e implementado una conexión ExpressRoute Premium universal
(basada en MPLS) desde la sede de París para la ubicación de emparejamiento de Microsoft en
Europa.
Rendimiento constante del
personal de las instalaciones de
París para las aplicaciones SaaSCon 15 000 empleados en las instalaciones
de París que acceden simultáneamente a
Office 365, Intune y Dynamics 365,
Contoso quiere asegurarse de que dicho
acceso sea constante y no compita con el
tráfico de Internet regional.
Rendimiento coherente para la
administración de aplicaciones PaaS
de Azure distribuidasTodos de los desarrolladores de aplicaciones y los
administradores de TI de la infraestructura básica de
Contoso se encuentran en las instalaciones de París.
Con las aplicaciones PaaS de Azure distribuidas a
distintos centros de datos de Azure de todo el
mundo, Contoso necesita un rendimiento constante
en las instalaciones de París para administrar las
aplicaciones y sus recursos de almacenamiento, que
contienen TB de documentos.
Rendimiento constante para la
administración de servidores en IaaS
de Azure
Los administradores de centros de datos de
Contoso están en las instalaciones de París y los
servidores que deben implementarse en Azure
son una extensión del centro de datos de París.
Contoso necesita un rendimiento constante para
estos nuevos servidores a fin de tener acceso a
aplicaciones heredadas y al almacenamiento de
archivo, así como para el procesamiento de fin
de trimestre.
Agregar ExpressRoute Premium para las
instalaciones de París
Proporciona acceso constante a las ofertas de
nube de SaaS para los empleados de las
instalaciones París y la administración de cargas
de trabajo de PaaS e IaaS de Azure en todo el
mundo.
4 Crear y probar un perfil de Azure Traffic
Manager para aplicaciones PaaS
de Azure
Pruebe un perfil de Azure Traffic Manager que
use el método de enrutamiento del rendimiento
para obtener experiencia en la distribución de
tráfico de Internet
a ubicaciones regionales.
5 Reservar espacio de direcciones privadas
para redes virtuales de Azure
Según el número de servidores proyectados a
corto y largo plazo en IaaS de Azure, reserve el
espacio de direcciones privadas para las redes
virtuales de Azure
y sus subredes.
6
http://aka.ms/tune
Planes de red y ajuste del
rendimiento para Office 365
http://aka.ms/tune
Planes de red y ajuste del
rendimiento para Office 365ExpressRoute para Office 365
Microsoft proporciona una Identidad como servicio (IDaaS) en sus ofertas de nube. Para adoptar una
infraestructura de nube inclusiva, la solución IDaaS de Contoso debe aprovechar su proveedor de
identidades local e incluir la autenticación federada con sus proveedores de identidades de terceros de
confianza existentes.
Método de una organización global
ficticia, aunque representativa, para
implementar la nube de Microsoft
InternetInternetRed perimetralRed perimetral
Extranet de
partners
Extranet de
partners
Sitio web
público
Sitio web
público
Clientes y
partners
Clientes y
partners
Firewall externoFirewall externo
Infraestructura de autenticación federada de Contoso
AD FSAD FS
Contoso usa un único bosque de Windows Server Active Directory (AD) para contoso.com con siete dominios, uno para cada región del mundo. La sede, las
oficinas de hubs regionales y las oficinas satélite contienen controladores de dominio para la autenticación local y la autor ización.
Contoso quiere usar las cuentas y los grupos del bosque contoso.com para la autenticación y la autorización de sus aplicaciones y cargas de trabajo basadas
en la nube.
Contoso permite lo siguiente:
Que los clientes usen sus cuentas de Microsoft,
Facebook o Google Mail para iniciar sesión en su sitio
web público.
Que los proveedores y partners usen sus cuentas de
LinkedIn, Salesforce o Google Mail para iniciar sesión en
la extranet de partners.
Los servidores de los Servicios de federación de Active
Directory (AD FS) de la red perimetral autentican las
credenciales de cliente para el acceso al sitio web público
y las credenciales de partner para el acceso a la extranet de
partners.
Cuando Contoso realiza la transición de su sitio web público
a una aplicación web de Azure y de la extranet de partners
a Dynamics 365, su objetivo es seguir usando estos
proveedores de identidades de terceros para sus clientes
y partners.
Esto se logrará mediante la configuración de la federación
entre los inquilinos de Azure AD de Contoso y estos
proveedores de identidades de terceros.Continúa en la página siguiente
Distribución geográfica del tráfico de autenticación de ContosoPara ofrecer mejor soporte a los empleados móviles y remotos, Contoso ha implementado conjuntos de servidores de autenticació n en sus oficinas regionales.
Esta infraestructura distribuye la carga y proporciona redundancia y un rendimiento superior al autenticar las credenciales d e usuario para acceder a las ofertas
de nube de Microsoft que usan el inquilino común de Azure AD.
Para distribuir la carga de las solicitudes de autenticación, Contoso ha configurado Azure Traffic Manager con un perfil que usa el método de enrutamiento del
rendimiento, que se refiere a la autenticación de clientes para el conjunto más próximo de servidores de autenticación de la región.
Redundancia de la infraestructura de autenticación de la sede en IaaS de Azure
Traffic ManagerTraffic Manager
5. El equipo cliente envía una solicitud de autenticación a un servidor proxy
de aplicación web, que reenvía la solicitud a un servidor de AD FS.
6. El servidor de AD FS solicita las credenciales de usuario desde el equipo
cliente.
7. El equipo cliente envía las credenciales de usuario sin preguntar al
usuario.
8. El servidor de AD FS valida las credenciales con un controlador de
dominio de Windows Server AD en la oficina regional y devuelve un token
de seguridad al equipo cliente.
9. El equipo cliente envía el token de seguridad a Office 365.
10. Tras la validación correcta, Office 365 almacena en caché el token de
seguridad y envía la página web solicitada en el paso 1 al equipo cliente.
1. El equipo cliente inicia la comunicación con una página web en el
arrendamiento de Office 365 en Europa (como sharepoint.contoso.com).
2. Office 365 devuelve una solicitud para enviar la prueba de la
autenticación. La solicitud contiene la dirección URL de contacto para la
autenticación.
3. El equipo cliente intenta resolver el nombre DNS de la dirección URL
en una dirección IP.
4. Azure Traffic Manager recibe la consulta DNS y responde al equipo
cliente con la dirección IP de un servidor de proxy de aplicación web en
la oficina regional más próxima al equipo cliente.
Ejemplo de proceso de autenticación:
Red perimetral
Servidores
proxy de
aplicaciones
web
Servidores
proxy de
aplicaciones
web
Servidores de
AD FS
Servidores de
AD FS
Oficina regional
Firewall internoFirewall interno
Controladores
de dominio de
Windows Server
AD
Controladores
de dominio de
Windows Server
AD
Solicitud de
autorización
Red perimetral
Servidores
proxy de
aplicaciones
web
Servidores
proxy de
aplicaciones
web
Servidores de
AD FS
Servidores de
AD FS
Oficina centralOficina central
Centros de datos
de aplicaciones
centrales
Centros de datos
de aplicaciones
centrales
Firewall
interno
Firewall
interno
Red virtual
ExpressRoute
Premium
ExpressRoute
Premium
Servidores
proxy de
aplicaciones
web
Servidores
proxy de
aplicaciones
web
Servidores de
AD FS
Servidores de
AD FS
Servidores de autenticación
Servidores de autenticación
Para proporcionar redundancia para los trabajadores móviles y remotos de la sede de París
que tiene 15 000 trabajadores, Contoso ha implementado un segundo conjunto de servidores
proxy de aplicaciones y servidores de AD FS en IaaS de Azure.
Cuando los servidores de autenticación principales de la red perimetral de la sede dejan de
estar disponibles, el personal de TI cambia al conjunto redundante implementado en IaaS de
Azure. Las solicitudes de autenticación subsiguientes de equipos de la oficina de París usan el
conjunto de IaaS de Azure hasta que se corrige el problema de disponibilidad.
Para cambiar y revertir, Contoso actualiza el perfil
Para proporcionar un uso coherente de las identidades y la facturación para todas las ofertas de nube, Microsoft ofrece una jerarquía de cuentas de organización, suscripciones, licencias y usuario.
Método de una organización global
ficticia, aunque representativa, para
implementar la nube de Microsoft
Intune/EMS500 licenciasIntune/EMS500 licencias
Dynamics 365100 licencias
Dynamics 365100 licencias
Suscripciones
a Azure
regionales
Suscripciones
a Azure
regionales
Contoso Corporation
Inquilino deAzure AD
Inquilino deAzure AD
Office 365Office 365
Enterprise E3500 licencias
Cuentas de usuario sincronizadas desde el bosque de Windows
Server AD de contoso.com
Enterprise E5200 licencias
Suscripciones a Azure de Contoso Contoso ha diseñado la siguiente jerarquía para sus
suscripciones a Azure:
Contoso está en la parte superior, de acuerdo con su
Contrato Enterprise con Microsoft.
Existe un conjunto de cuentas correspondiente a las
diferentes regiones de Contoso Corporation en todo el
mundo, que se basa en los dominios del bosque de
Windows Server AD de Contoso.
En cada región, hay una o varias suscripciones según
las necesidades de desarrollo, pruebas e
implementación de la producción de la región.
Cada suscripción de Azure puede asociarse a un solo
inquilino de Azure AD que contenga cuentas de usuario y
grupos para la autenticación y la autorización para los
servicios de Azure. Las suscripciones de producción usan
el inquilino de Azure AD común de Contoso.
Organización
Entidad empresarial que usa las ofertas de nube de Microsoft, normalmente identificadas por un nombre de dominio DNS público, como contoso.com.
Suscripciones
Para las ofertas de nube de SaaS de Microsoft (Office 365, Intune/EMS y Dynamics 365), una suscripción es un producto específico y un conjunto de licencias de usuario adquirido.
Para Azure, una suscripción permite la facturación de los servicios en la nube consumidos a la organización.
Licencias
Para las ofertas de nube de SaaS de Microsoft, una licencia permite a una cuenta de usuario específica usar los servicios en la nube.
Para Azure, las licencias de software se incluyen en el precio del servicio, pero en algunos casos deberá adquirir licencias de software adicionales.
Cuentas de usuario
Las cuentas de usuario se almacenan en un inquilino de Azure AD y pueden sincronizarse desde un proveedor de identidades local como Windows Server AD.
Organización Contoso Corporation se identifica mediante su nombre de dominio público contoso.com.
Suscripciones y licencias Contoso Corporation usa lo siguiente:
Producto Office 365 Enterprise E3 con 500 licencias Producto Office 365 Enterprise E5 con 200 licencias Producto EMS con 500 licencias Producto Dynamics 365 con 100 licencias Varias suscripciones de Azure según las regiones
Cuentas de usuario Un inquilino común de Azure AD contiene la lista de cuentas de usuario y grupos que se usan en todas las suscripciones de Contoso, a excepción de las suscripciones de Azure para desarrollo y pruebas.
Para las ofertas de nube de SaaS, el inquilino es la ubicación regional que
hospeda los servidores que proporcionan servicios en la nube. Contoso ha
elegido la región europea para el hospedaje de sus inquilinos de Office 365,
EMS y Dynamics 365.
Los servicios y las aplicaciones PaaS de Azure y las cargas de trabajo de TI
de IaaS pueden tener un arrendamiento en cualquier centro de datos de
Azure del mundo.
Un inquilino de Azure AD es una instancia específica de Azure AD que
contiene cuentas y grupos. El inquilino de Azure AD común que contiene las
cuentas sincronizadas del bosque de Windows Server AD de Contoso
proporciona IDaaS en las ofertas de nube de Microsoft.
Suscripciones, licencias, cuentas e inquilinos para las ofertas de nube de MicrosoftSuscripciones, licencias, cuentas e inquilinos para las ofertas de nube de Microsoft
Inquilinos:
1 2 3 4 5Este es el tema 5 de una serie de 6
6
contoso.com
Suscripción a Azure y directrices de cuentasSuscripción a Azure y directrices de cuentas