Triển khai SharePoint trên Microsoft Azure IaaS v2 – Phần 4

Ở phần 3 tôi đã giới thiệu về các resource và thành phần cần thiết của Azure IaaS v2 mà bạn cần tìm hiểu sau khi đã xác định được mô hình farm của bạn. Ngoài ra tôi có chia sẻ một số lưu ý bạn cần biết để triển khai SharePoint farm lên Azure IaaS được tốt hơn. Trong phần tiếp theo này, chúng ta sẽ cùng tìm hiểu về Identity.

Trước khi bắt đầu triển khai SharePoint farm, bạn hãy xác định xem identity provider của bạn là gì?

  • Active Directory on-premises: Active Directory (AD) domain controller nằm ở on-premises.
  • Azure-hosted Active Directory: Active Directory domain controller nằm trên Azure.
  • Azure Active Directory Domain Services: đây là Active Directory service của Microsoft nằm trên Azure. Bạn có thể hiểu đây là AD-As-A-Service.

Ngoài ra, SharePoint farm của bạn có cần phải thiết lập federation trust đến các identity provider khác.

  • Bạn có cần deferation trust?
  • SharePoint user của bạn từ Active Directory on-premises sẽ được authenticate trên SharePoint farm trên Azure?
  • Office 365 user
  • Một partner nào đó (trong extranet collaboration scenario)

Active Directory On-premises

Nếu bạn dự định triển khai SharePoint farm trên Azure nhưng Active Directory nằm ở môi trường on-premises, bạn cần thiết lập Site-to-Site VPN, dc hỗ trợ trong Azure Virtual Network. Nếu bạn cần tối ưu hóa về kết nối, bạn có thể sử dụng thêm service khác của Azure là ExpressRoute. ExpressRoute là 1 dịch vụ Microsoft làm việc chung với các nhà cung cấp Internet để thiết lập 1 kết nối riêng từ môi trường on-premises của bạn đến trực tiếp Azure datacenter mà không phải đi qua nhiều nơi.

azure-hybrid

Như bạn thấy ở hình trên, SharePoint farm trên Azure sẽ được kết nối đến Active Directory ở môi trường On-premises thông qua Azure VPN. Ngoài ra ExpressRoute được sử dụng để tối ưu kết nối giữa 2 môi trường.

Azure-hosted Active Directory

Với mô hình này, bạn tạo 1 máy ảo trên Azure Virtual Machine, sau đó cài đặt Windows Server và cấu hình Active Directory. Mô hình này phù hợp cho việc triển khai public-facing website. Cách cài đặt cũng tương tự như trên môi trường on-premises hoặc ảo hóa (virtualization).

Federation

Federation scenario khi bạn cho phép user từ một Active Directory hoặc identity provider khác authenticate và truy cập thành công vào SharePoint farm của bạn trên Azure. Ở scenario này phổ biến nhất là sử dụng Active Directory Federation Service (AD FS) hoặc sử dụng Azure Access Control Service (Azure ACS) hoặc Azure AD. Hiện tại Microsoft vẫn cho phép sử dụng Azure ACS nhưng Microsoft khuyên bạn nên sử dụng Azure AD. Azure ACS sẽ được thay thế hoàn toàn bằng Azure AD trong thời gian tới. Ngoài ra bạn có thể sử dụng các sản phẩm của bên thứ 3 như Okta, PingFederate, CA SiteMinder nhưng trong bài này tôi chỉ đề cập đến Microsoft Azure.

azure_acs

Một số chú ý bạn cần biết khi chuẩn bị Active Directory server trên Azure.

  • Chỉ nên sử dụng các máy ảo có size Standard_A2 hoặc Standard_A3 để tiết kiệm chi phí nếu như Active Directory của bạn chỉ phục vụ cho việc authentication.
  • Nên sử dụng Windows Server 2012 R2.
  • Cài đặt và cấu hình DNS với các reserved IP.
  • Lưu trữ Active Directory database, log hoặc SYSVOL vào disk khác thay vì disk C (dành cho hệ điều hành) hoặc disk D (temporary).

Hết phần 4, phần tiếp theo tôi sẽ chia sẻ về Business Continuity trên Azure. Đây là phần rất quan trọng trên cloud bạn cần nắm.


Thuan Soldier

Anh Nguyễn Ngọc Thuận là chuyên gia công nghệ về các giải pháp Microsoft Cloud Productivity, hiện đang làm việc tại FPT Software. Anh có 8 năm kinh nghiệm làm việc với các sản phẩm của Microsoft cho các khách hàng Mỹ và Singapore, trong đó 2 năm làm việc cho các tổ chức chính phủ Singapore. Với những cống hiến cho cộng đồng và các khách hàng của Microsoft, anh Thuận được danh hiệu Microsoft Most Valuable Professional (MVP) 6 lần liên tiếp từ 2011 – 2016. Đến với AzureVN.NET, Thuận mong muốn được chia sẻ kinh nghiệm về Azure IaaS (Infrastructure-As-A-Service) và Azure Security.

thuansoldier has 36 posts and counting.See all posts by thuansoldier

Leave a Reply

Your email address will not be published. Required fields are marked *