Triển khai SharePoint trên Microsoft Azure IaaS v2 – Phần 4
Ở phần 3 tôi đã giới thiệu về các resource và thành phần cần thiết của Azure IaaS v2 mà bạn cần tìm hiểu sau khi đã xác định được mô hình farm của bạn. Ngoài ra tôi có chia sẻ một số lưu ý bạn cần biết để triển khai SharePoint farm lên Azure IaaS được tốt hơn. Trong phần tiếp theo này, chúng ta sẽ cùng tìm hiểu về Identity.
Trước khi bắt đầu triển khai SharePoint farm, bạn hãy xác định xem identity provider của bạn là gì?
- Active Directory on-premises: Active Directory (AD) domain controller nằm ở on-premises.
- Azure-hosted Active Directory: Active Directory domain controller nằm trên Azure.
- Azure Active Directory Domain Services: đây là Active Directory service của Microsoft nằm trên Azure. Bạn có thể hiểu đây là AD-As-A-Service.
Ngoài ra, SharePoint farm của bạn có cần phải thiết lập federation trust đến các identity provider khác.
- Bạn có cần deferation trust?
- SharePoint user của bạn từ Active Directory on-premises sẽ được authenticate trên SharePoint farm trên Azure?
- Office 365 user
- Một partner nào đó (trong extranet collaboration scenario)
Active Directory On-premises
Nếu bạn dự định triển khai SharePoint farm trên Azure nhưng Active Directory nằm ở môi trường on-premises, bạn cần thiết lập Site-to-Site VPN, dc hỗ trợ trong Azure Virtual Network. Nếu bạn cần tối ưu hóa về kết nối, bạn có thể sử dụng thêm service khác của Azure là ExpressRoute. ExpressRoute là 1 dịch vụ Microsoft làm việc chung với các nhà cung cấp Internet để thiết lập 1 kết nối riêng từ môi trường on-premises của bạn đến trực tiếp Azure datacenter mà không phải đi qua nhiều nơi.
Như bạn thấy ở hình trên, SharePoint farm trên Azure sẽ được kết nối đến Active Directory ở môi trường On-premises thông qua Azure VPN. Ngoài ra ExpressRoute được sử dụng để tối ưu kết nối giữa 2 môi trường.
Azure-hosted Active Directory
Với mô hình này, bạn tạo 1 máy ảo trên Azure Virtual Machine, sau đó cài đặt Windows Server và cấu hình Active Directory. Mô hình này phù hợp cho việc triển khai public-facing website. Cách cài đặt cũng tương tự như trên môi trường on-premises hoặc ảo hóa (virtualization).
Federation
Federation scenario khi bạn cho phép user từ một Active Directory hoặc identity provider khác authenticate và truy cập thành công vào SharePoint farm của bạn trên Azure. Ở scenario này phổ biến nhất là sử dụng Active Directory Federation Service (AD FS) hoặc sử dụng Azure Access Control Service (Azure ACS) hoặc Azure AD. Hiện tại Microsoft vẫn cho phép sử dụng Azure ACS nhưng Microsoft khuyên bạn nên sử dụng Azure AD. Azure ACS sẽ được thay thế hoàn toàn bằng Azure AD trong thời gian tới. Ngoài ra bạn có thể sử dụng các sản phẩm của bên thứ 3 như Okta, PingFederate, CA SiteMinder nhưng trong bài này tôi chỉ đề cập đến Microsoft Azure.
Một số chú ý bạn cần biết khi chuẩn bị Active Directory server trên Azure.
- Chỉ nên sử dụng các máy ảo có size Standard_A2 hoặc Standard_A3 để tiết kiệm chi phí nếu như Active Directory của bạn chỉ phục vụ cho việc authentication.
- Nên sử dụng Windows Server 2012 R2.
- Cài đặt và cấu hình DNS với các reserved IP.
- Lưu trữ Active Directory database, log hoặc SYSVOL vào disk khác thay vì disk C (dành cho hệ điều hành) hoặc disk D (temporary).
Hết phần 4, phần tiếp theo tôi sẽ chia sẻ về Business Continuity trên Azure. Đây là phần rất quan trọng trên cloud bạn cần nắm.