앞에 썼던 글을 조금 더 깊이 있게 살펴 보는 글입니다.
Windows Azure
Windows Azure는 두 가지 중요한 일을 합니다. 애플리케이션을 구동하고, 데이터를 저장하는 거죠.
그림 1: 최초 CTP 버전에서 Windows Azure 애플리케이션은 Web role, Worker role 인스턴스로 이루어지고, 각 인스턴스는 자신의 VM (가상머신) 위에서 구동됨
애플리케이션 구동
애플리케이션은 여러 개의 인스턴스를 가지고 있는데, 인스턴스는 전체 복사본 또는 애플리케이션의 일부를 포함하고 있습니다. 각 인스턴스는 자신만의 가상머신(VM) 위에서 구동되는데, 이 가상머신들은 64비트 Windows Server 2008 환경이고, 클라우드에서 사용되도록 디자인된 Hypervisor에 의해 제공됩니다. 그렇지만, Windows Azure 애플리케이션은 실제로 그 가상머신을 볼 수 없게 설계되어 있습니다. 개발자가 가진 VM 이미지를 Windows Azure에서 구동하는 것은 지원되지 않습니다. 그대신 , CTP 버전은 개발자가 Web Role 인스턴스, Worker Role 인스턴스를 통해 .NET 3.5 기반의 애플리케이션을 만들 수 있도록 되어 있습니다. 이름에서 알 수 있듯이, Web Role 인스턴스는 IIS7을 경유하여 HTTP (HTTPs) 요청을 받아 들이는데, Web Role은 IIS와 함께 동작하는 ASP.NET, WCF, .NET Framwork 기술을 통해 구현할 수 있습니다. Windows Azure는 동일한 애플리케이션의 일부분인 전체 Web Role 인스턴스 간에 요청을 분산할 수 있도록 빌트인 로드밸런싱을 제공합니다.
반면에, Worker Role 인스턴스는 외부로부터 요청을 직접 받아들 일 수 없게 되어 있습니다. 어떤 유형의 네트웍 커넥션도 허용되지 않고, IIS가 VM 안에서 구동되지도 않습니다. 그대신, Web Role 인스턴스에서 입력이 들어와서, Windows Azure Storage에 Queue 형태로 저장됩니다. 작업의 결과 값이 Windows Azure Storage에 저장되거나 외부로 보내지고, 외부로 나가는 연결을 허용하는 거죠. Incoming HTTP 요청을 처리하고, 요청이 처리된 후 shutdown 하는 Web Role과 다르게 Worker Role 인스턴스는 배치 작업처럼 무한정 길게 구동될 수 있습니다. 이런 특징에 맞게 Worker Role은 main() method를 가진 어떤 .NET Technoloy로도 구현될 수 있습니다. (Windows Azure Trust가 보장된다는 조건하에)
Web Role 인스턴스, Worker Role 인스턴스에 관계 없이 각 VM은 Windows Azure Fabric과 상호 교류할 수 있도록 해주는 Windows Azure Agent를 포함하고 있습니다. 이 Agent는 인스턴스가 Windows Azure 관리 로그를 쓸 수 있는 Windows Azure에서 정의된 API를 제공하며, 소유자에게 Windows Azure fabric을 경유하여 경고를 보내주기도 합니다. 시간이 지나면 바뀔 수도 있겠지만, Windows Azure의 초기 릴리즈 버전은 VM과 물리적 프로세서 코어 간 1:1 관계를 유지하게 되어 있고 이 원칙 때문에 각 애플리케이션의 성능이 보장됩니다. 각 Web Role, Worker Role 인스턴스는 자신에게 할당된 프로세서 코어가 있는 것입니다. 애플리케이션의 성능을 증가하기 위해, 소유자는 애플리케이션 설정 파일 안에 운영되는 인스턴스의 수를 증가시킬 수 있습니다.
그런 후에 Windows Azure Fabric이 새로운 VM을 생성한 후, 코어에 할당하고 이 애플리케이션에 더 많은 인스턴스를 구동하도록 합니다. Fabric은 또한 Web Role, Worker Role 인스턴스에 오류가 발생했을 때 새로운 인스턴스를 구동해주는 역할을 합니다.
이것이 의미하는 바는 확장성을 보장하기 위해, Windows Azure의 Web Role 인스턴스는 stateless 여야만 한다는 것이죠. 상태 정보는 Windows Azure Storage에 쓰여지거나, 쿠키를 이용하여 클라이언트로 보내져야만 합니다. Web Role의 statelessness는 또한 Windows Azure의 빌트인 로드 밸런서에 의해 강제화 되어집니다. 왜냐하면, 요청이 특정 웹 Role 인스턴스 에게만 보내지는 것을 허용하지 않기 때문이고, 한 사용자가 사용하는 여러 요청들이 동일 인스턴스로 보내진다는 보장이 없기 때문이죠. Web Role과 Worker Role은 모두 표준 .NET 기술을 사용하여 구현되었지만 현재 있는 .NET Framework 애플리케이션을 Windows Azure로 변경 없이 사용하도록 하는 것은 불가능합니다. 애플리케이션이 스토리지를 접근하는 방식이 다르기 때문이죠. Windows Azure Storage에 대한 접근은 ADO.NET 웹 서비스를 사용하는데, 상대적으로 새로운 기술이고 아직 On-Premise 애플리케이션 사이에서는 사용되고 있지 않습니다. 유사하게, Worker role 인스턴스는 입력을 위해서는 Windows Azure 스토리지의 Queue를 이용합니다. 또 다른 제약사항은 Windows Azure 애플리케이션은 Full Trust 환경에서는 구동되지 않고, 마이크로소프트가 Windows Azure trust라고 부르는 것에 제한되는데, 여러 ASP.NET 호스팅 업체에 의해 허용되는 Medium Trust와 유사하다고 보면 됩니다.
개발자 입장에서, CTP 버전의 Windows Azure 애플리케이션을 개발하는 것은 전통적인 .NET 애플리케이션을 만드는 것과 거의 같습니다. 마이크로소프트는 Windows Azure Web Role, Worker Role, 두 가지를 함께 쓸 수 있는 Visual Studio 2008 프로젝트 템플릿을 제공한다. 개발자는 어떤 .NET 언어든 사용할 수 있습니다 (최초 버전에서는 C# 지원). 또한, Windows Azure 소프트웨어 개발 Kit은 개발자의 데스크탑에서 운영할 수 있는 Windows Azure 환경을 포함하고 있다. (에뮬레이션) 이 Windows Azure-in-a-box는 Windows Azure Storage, Windows Azure agent, 그리고 클라우드 상에서 애플리케이션이 구동하면서 필요한 것은 다 포함되어 있습니다. 개발자는 이 환경에서 애플리케이션 디버깅을 할 수 있고, 테스트가 완료됐을 때 실제 Windows Azure Cloud로 배포할 수 있습니다. 아직도, 몇 가지는 실제 클라우드와 완전히 똑 같지는 않습니다. 참고로 클라우드 기반 애플리케이션에 디버거를 연결하는 것은 불가능하다. 로컬에서 테스트 한 후에 올려야 한다는 거죠. Windows Azure는 개발자를 위한 다른 서비스를 제공하는데, 예를들면 Windows Azure agent를 통해 경고 문자열을 보내고, Windows Azure는 이메일, 인스턴트 메시지 등을 통해 포워드하는 등이 그 예입니다. Windows Azure fabric은 애플리케이션 실패를 감지하고, 결고를 보낼 수 있고 또한, 애플리케이션의 자원 소비량, 프로세서 시간, incoming & outcome 대역폭, 스토리지 등에 대한 상세한 정보를 제공합니다.
Accessing Data
애플리케이션은 데이터와 다양한 방식으로 동작합니다. 어떤 때는 Blob, 또 다른 때는 훨씬 더 구조화된 방식이 필요하기도 하죠. 어떤 애플리케이션이든 데이터를 교환하는 방식이 필요한 것입니다. Windows Azure는 3가지 형태를 지원합니다. Blobs, Tables, Queues
그림2. Windows Azure는 HTTP를 통해 RESTful 스타일로 Blobs, Tables, Queues를 지원한다.
가장 간단한 건, blobs을 사용하는 방식 입니다. 스토리지 계정은 하나 또는 더 많은 개수의 컨테이너를 갖고 있고, 이 컨테이너는 하나 또는 더 많은 개수의 blob을 갖고 있습니다. Blob은 1개당 50기가 바이트 크기까지 가능하고, 각 blob은 블록으로 나뉘어 질 수 있습니다. 만약 오류가 발생하면, 전체 blob을 다시 보내는 것이 아니고 가장 최근의 block을 다시 보내주는 방식입니다. Blobs은 연관된 메타데이터 정보, JPEG 사진을 어디서 찍었고, MP3파일의 작곡가가 누구인지 등에 대한 정보를 가질 수 있다. Blob은 특정한 데이터, 사진, MP3, WMV 파일 등을 위해서는 좋지만, 많은 경우에는 적합하지 않죠. 따라서, Windows Azure는 Tables 을 지원합니다. 엔티티의 계층구조를 저장할 수 있는데, 테이블은 정해진 스키마를 가지고 있지 않고, 프로퍼티를 통해 다양한 유형의 데이터 타입, 문자열, Int, Bool, DateTime 등을 가질 수 있습니다. Windows Azure의 Storage는 SQL을 사용하는 것이 아니고, LINQ Syntax 등의 쿼리 언어를 사용하여 테이블의 데이터를 CRUD 할 수 있습니다. 테이블 한 개는 엄청 커질 수 있고, 수십억개의 엔티티를 저장할 수도 있는데, 이 것은 Windows Azure Storage가 성능을 향상할 수 있도록 여러 서버에 파티션으로 저장하기 때문입니다. Blobs과 Table은 데이터를 저장하는 목적이 있지만, 세 번째 방법은 Queue이고 다른 용도를 가지고 있습니다. 바로 그것은 Web Role 인스턴스가 Worker Role 인스턴스와 통신할 수 있는 방법을 제공합니다.
예를들면, 사용자가 Windows Azure Web Role을 통해 구현된 웹 페이지에서 컴퓨팅을 많이 필요로 하는 작업을 요청할 때 Web Role 인스턴스가 이 요청을 받아서 어떤 작업이 이루어져야 하는지에 대한 메시지를 큐에 넣고 Worker Role 인스턴스가 이 큐에 있는 값을 읽어서 정해진 작업을 수행하고, 다른 큐를 통해 해당 결과 값을 돌려줄 수 있게 됩니다. Blob, table, queue에 관계 없이 Windows Azure storage에 저장된 데이터는 3번 복제 된다. Falut tolerance를 구현하기 위한 것이고, 1곳, 또는 2곳의 오류는 심각한 이슈를 발생하지 않겠죠.
Windows Azure storage는 Windows Azure 애플리케이션, 또는 다른 곳에서 구동되는 애플리케이션을 통해서도 접근 가능합니다. 모든 경우에 Windows Azure 스토리지 유형은 데이터를 노출시키는데 REST 방식을 사용합니다. 모든 것은 URI로 이름이 부여되어 있고, 표준 HTTP 방식으로 처리됩니다. .NET 클라이언트는 ADO.NET 서비스나 LINQ를 사용할 수 있지만, Java 애플리케이션으로 Windows Azure Storage를 접근하려면 표준 REST 방식을 사용할 수 있습니다. 예를들면, blob은 HTTP GET을 이용해, URI를 아래와 같이 부를 수 있습니다.
.blob.core.windows.net//">http://<StorageAccount>.blob.core.windows.net/<Container>/<Blobname>
<Storage Account>는 새로운 Storage Account가 생성될 때 지정되는 식별자이고, 유일하게 이 계정에서 생성된 blob, table, queue를 찾아낼 수 있게 해줍니다. <Container>, <Blobname>은 컨테이너의 이름이고, 이 요청이 접근할 blob의 이름을 의미하죠.
유사하게 특정 table을 부를 때 사용되는 것은 아래와 같습니다.
.table.core.windows.net/?filter=">http://<StorageAccount>.table.core.windows.net/<TableName>?filter=<Query>
<TableName>은 조회될 테이블을 지정하고, <Query>는이 테이블에 실행될 쿼리문을 포함합니다.
Queue 역시 위와 같은 방식으로 사용된다
Http://<StorageAccount>.queue.core.windows.net/<QueueName>
Windows Azure 플랫폼은 Compute와 Storage 자원을 독립적으로 비용을 책정합니다. 이건 어떤 의미냐 하면 On-Premise 애플리케이션은 앞에 언급됐던 RESTful 방식으로 Windows Azure Storage만 사용할 수 있다는 것이죠. 물론 주요 목적은 Azure 애플리케이션의 데이터를 저장하는 것이지만, 다양한 형태로 사용될 수 있다는 것은 분명합니다. 애플리케이션을 사용하는 목적은 On-Premise든, Cloud든 애플리케이션 자체와 데이터를 지원하는 것입니다. Windows Azure 는 이러한 것들에 대한 기본적인 부분을 충실히 지원합니다.
.NET Services
클라우드 기반의 인프라스트럭처, 이 서비스는 On-Premise 또는 클라우드 기반 애플리케이션에 의해 모두 사용될 수 있습니다.
Access Control
Identity는 모든 분산 애플리케이션의 근원적인 부분입니다. 사용자의 Identity 정보를 기반으로 사용자가 어떤 일을 하도록 할 것인지 결정하게 되는데 이 정보를 전송하기 위해 애플리케이션은 SAML(Security Assertion Markup Lanaguage)를 사용하는 토큰을 사용합니다. SAML 토큰은 클레임, 각 사용자에 대한 정보 들을 나눠서 저장하고 전달하는, 값을 갖고 있는데, 하나의 클레임은 이름을 갖고 있고, 또 다른 클레임은 관리자와 같은 Role에 대한 정보를 갖고 있고, 다른 클레임은 이메일 값을 가지고 있을 수 있습니다. 토큰들은 STS(Security Token Service)라고 하는 소프트웨어에 의해 생성되는데, 각각 디지털적으로 그 Source값을 검증하도록 되어 있는 방식이죠.
클라이언트 (브라우저)가 사용자의 토큰을 가지고 있고, 그 토큰 값을 애플리케이션에게 제시할 수 있습니다. 애플리케이션은 이 사용자가 어떤 일을 할 수 있는지 결정하는데 그 토큰의 클레임을 사용하는 방식입니다. 여기에는 몇 가지 문제점을 내포하고 있는데 다음과 같습니다.
- 토큰이 애플리케이션이 필요로 하는 클레임을 갖고 있지 않다면? 클레임 기반 아이덴티티를 가지고, 모든 애플리케이션은 클레임의 집합을 자유롭게 정의할 수 있지만, 이 토큰을 만들었던 STS가 이 애플리케이션이 요구하는 클레임을 정확히 입력하지 못했을 수 있습니다.
- 애플리케이션이 STS가 생성한 토큰을 신뢰하지 못한다면? 아무 STS로나 생성된 토큰을 애플리케이션이 신뢰할 수는 없겠죠. 대신 애플리케이션은 신뢰된 STS의 인증서 리스트를 선택하여 접근할 수 있고, 서명이나 토큰을 검증할 수 있을 것입니다. 신뢰된 STS를 통해 발급된 토큰만 받아들이는 형태를 취할 수 있습니다.
프로세스안에 또 다른 STS를 집어 넣음으로써 두 가지 문제를 모두 해결할 수 있다. 토큰이 올바른 클레임을 담고 있는지 확인하기 위해 이 추가적인 STS가 클레임 변환을 시도하는 것입니다. STS는 클레임의 입력 및 출력이 어떻게 연관되어야 하는지에 대한 Rule을 정의할 수 있고, 애플리케이션이 요구하는 정확한 클레임을 포함하고 있는 새로운 토큰을 생성할 수 있는 룰을 사용할 수 있습니다.
두 번째 문제를 해결하기 위해, 일반적으로 애플리케이션이 새로운 STS를 신뢰할 수 있도록 하는 Identity Federation이라는 하는 방식을 사용합니다. 새로운 STS와 STS의 토큰을 요청 받은 측과 신뢰 관계를 형성하는 것입니다. 또 다른 STS를 집어 넣는 데는 클레임 변환과 Identity Federation을 사용할 수 있습니다.
이 STS를 어디에서 구동해야 하나? 조직 내부에서 구동할 수도 있고, 다른 벤더에서 제공하는 서비스를 사용할 수도 있습니다. 이런 경우에는 조직 내부에 있든 외부에 있든 누구나 접근 가능하고, STS를 운영하는 짐을 서비스 제공자가 담당하도록 하는 것입니다.
바로 이 기능이 Access Control의 역할 입니다. 클라우드 상의 STS인 것이죠. 이 STS가 사용되는 방식을 살펴보겠습니다. ISV가 인터넷 접근 가능한 애플리케이션을 개발했는데 이 애플리케이션은 여러 다른 조직의 사용자가 사용하고 있습니다. 각 조직에서는 그 조직의 직원을 위해 SAML 토큰을 제공하지만, 이 토큰들은 해당 애플리케이션이 필요로 하는 정확한 클레임을 포함하고 있지 않은 경우가 많습니다.
그림3: Access Control 서비스는 Rule 기반의 클레임 변환과 Identity Federation을 제공한다
우선, 사용자 애플리케이션 (브라우저, WCF 클라이언트 등)이 사용자의 SAML 토큰을 Access Contril 서비스에 보냅니다 (1), 이 서비스가 해당 토큰의 서명을 검증한 후, STS서비스가 신뢰하는 STS에 의해 생성된 것인지 확인합니다. 해당 서비스가 애플리케이션이 요구하는 클레임을 포함한 새로운 SAML 토큰을 서명한 후 만듭니다 (2). 이러한 작업을 하기 위해 Access Control 서비스의 STS는 사용자가 사용하려는 애플리케이션 소유주가 정의한 룰에 따라 토큰을 만듭니다. 예를 들어, 애플리케이션이 해당 회사의 관리자에게만 접근 권한을 부여한다고 가정해보죠. 각 회사는 사용자가 관리자라고 하는 것을 나타내는 토큰을 클레임에 포함하고 있을 수 있지만, 실제로 표현 방식이 전부 다릅니다. 한 회사는 "Manager", 또는 다른 회사는 "Supervisor"라고 사용하고, 또 다른 회사는 코드를 쓸 수도 있겠죠. 이런 다양한 표현을 처리하기 위해 소유자가 이 세가지 클레임을 공통된 문자열 "Decision Maker"라고 변환하는 Rule을 Access Control에 넣을 수 있을 겁니다. 이 애플리케이션 입장에서는 처리하는 방식이 정말 간단해졌죠. 그렇지 않은가요? ^^
생성된 후에 Access Control 안의 STS가 이 새로운 토큰을 클라이언트에 보냅니다 (3). 그리고 그것을 애플리케이션으로 전송합니다. (4) 애플리케이션이 토큰의 서명을 검증한 후, 그 토큰이 정말로 Access Control Service의 STS에서 만들어졌는지 확인합니다. 서비스의 STS는 각 고객 조직의 STS와 신뢰 관계를 갖고 있어야 하고, 그 애플리케이션은 Access Control Service STS와만 신뢰관계를 가지고 있으면 됩니다. 토큰의 출처만 확인되면, 애플리케이션은 클레임을 통해 이 사용자가 무슨 일을 하게 할지, 말지에 대해 결정할 수 있게 됩니다.
애플리케이션의 특정 Function에 대한 접근을 허용하기 위해, 사용자가 특정 클레임을 제시해야 한다고 생각해보죠. 애플리케이션이 사용자의 토큰을 받았을 때, 이 클레임의 존재 유무에 따라 접근을 허용/거부할 수 있습니다.
Access Control은 모든 통신에 WS-Trust, WS-Federation 같은 표준 프로토콜을 사용합니다. 바로 이것 때문에 어떤 플랫폼을 사용하든, 어떤 애플리케이션이든 관계없이 쓸 수 있게 된 것이죠. Rule을 정의하기 위해 브라우저 기반의 GUI, 프로그래밍을 위한 클라이언트 API를 모두 제공합니다.
클레임 기반의 Identity는 분산 환경을 위한 표준적인 접근 방식입니다. 클라우드에서 STS를 제공함으로 Rule 기반의 클레임 변화을 제공하기 때문에 Access Control은 매력적인 방식 중의 하나라고 생각합니다.
Service Bus
우리 회사 내부에서 구동되는 애플리케이션이 있는데, 인터넷을 통해 다른 회사에서 접근 가능하도록 하고 싶다고 가정해보죠. 당신의 애플리케이션이 웹 서비스로서 구현되었다 (RESTful, SOAP 기반), 이런 경우 이 웹서비스는 외부 세계에서 볼 수 있습니다. 그런데, 실제로 외부세계와 함께 사용하려고 할 때 몇 가지 문제점이 있습니다.
첫째, 다른 조직의 애플리케이션이 당신 서비스에 연결할 Endpoint를 어떻게 찾을 수 있나요? 물론 다른 조직에서 여러분 애플리케이션의 위치를 찾을 수 있는 어떤 레지스트리가 있다면 좋겠지만 말이죠. 일단 찾았다고 하면, 다른 조직의 소프트웨어가 여러분의 애플리케이션에 어떻게 요청을 할 수 있죠? Network Address Translation(NAT)를 사용하고 있고, 애플리케이션이 외부에 노출되기 위한 고정 IP 주소를 가지지 않은 경우에는 어떻게 할까요? 비록 NAT가 사용되지 않더라도, 어떻게 그 요청이 방화벽을 통과하고 들어올 수 있죠? 물론 방화벽에 해당 포트를 개발하면 가능하겠지만, 대부분의 네트웍 관리자는 이런 포트 개방에 대해 부정적입니다. 그렇지 않나요?
그림4: Service Bus는 애플리케이션의 endpoint를 등록하고, 다른 애플리케이션이 찾고 접근할 수 있도록 함
당신의 애플리케이션을 Service Bus를 통해 하나, 또는 여러 개의 end point를 등록합니다(1) Service Bus가 당신 조직에 URI Root를 지정하고, 거기서부터 당신은 어떤 이름을 사용하든 관계없이 좋아하는 계층 구조 형태로 만들 수 있습니다. 이렇게 되면 당신의 endpoint가 특정, 검색 가능한 URI에 지정됩니다. 이때 애플리케이션은 노출시킬 endpoint를 위해 Service Bus와 연결을 개방해야 한다. Service Bus가 이 연결의 열려진 상태로 유지하므로 위에 발생했던 문제가 해결되는 것입니다.
첬째, NAT는 더 이상 이슈가 아닌데, 그 이유는 Service Bus에 개방 된 연결을 통해 트래픽이 항상 당신의 애플리케이션으로 라우팅 됩니다.
둘째, 연결이 방화벽 내부에서 이루어졌기 때문에 애플리케이션 사이에 정보를 보내는 것이 더 이상 문제가 아닙니다. 방화벽이 이 트래픽을 차단하지 않기 때문입니다.
다른 조직에서 당신의 애플리케이션에 대한 접근을 원할 때, 서비스버스 Registry를 찾습니다(2) 이 요청은 Atom Publishing 프로토콜을 사용하는데, 당신 애플리케이션의 endpoint에 대한 참조값을 보내는데 AtomPub 서비스 도큐먼트 값을 되돌려줍니다. 일단, 이 값이 있으면, 이 endpoint를 통해 서비스를 가져올 수 있습니다. (3)
각 요청이 Service Bus를 통해 받아들여지고, 당신의 애플리케이션으로 보내 집니다.
커뮤니케이션을 쉽게 하는 장점 이외에도, Service Bus는 보안을 강화시킬 수 있습니다. 클라이언트가 Service Bus에 의해 제공되는 IP주소밖에 볼 수 없기 때문에, 여러분 조직의 IP 주소를 외부로 노출시킬 필요가 없게 되는 거죠. 여러분의 애플리케이션은 anoynymous로 보여져, 외부 세계는 IP 주소를 볼 수 없게 됩니다. Service Bus가 외부 DMZ의 역할을 하고, 공격자를 혼란스럽게 하는 역할을 하게 됩니다. 마지막으로, Service Bus는 Access Control 서비스와 함께 사용되도록 만들어졌는데, 룰 기반의 클레임 변환을 허용합니다. 사실, Service Bus는 Access Control의 STS 서비스에 의해 발행된 토큰만 받아들이죠.
Service Bus를 통해 서비스를 노출시키려는 애플리케이션은 주로 WCF를 통해 구현되는데, Java 같은 기술로 구현된 클라이언트들은 SOAP, HTTP 등을 통해 요청할 수 있습니다. 애플리케이션과 클라이언트들은 공격자와 Service Bus 자체의 통신을 보호하기 위해 자체 보안 메커니즘, 암호화 등을 이용할 수 있습니다.
애플리케이션을 외부에 노출시키는 것은 생각만큼 간단하지 않은데, Service Bus는 이것을 아주 간단하게 쓸 수 있도록 해주는 역할을 합니다.
Workflow
Windows Workflow Foundation은 워크플로우 기반의 애플리케이션을 만드는 일반적인 기술입니다. 워크플로의 전형적인 시나리오는 길게 수행되는 프로세스를 제어하는 것이고, 종종 엔터프라이즈 애플리케이션 통합에서 이루어지는 일입이다. WF 기반의 애플리케이션은 많은 종류의 업무를 조율하는데 좋은 방법인데 특히, 그 업무가 다른 조직에 위치한 경우 클라우드 상에서 로직을 제어할 수 있도록 하는 것은 좋은 대안이 된다고 생각합니다.
워크플로우 서비스는 이렇게 진행됩니다. WF3.5 기반의 애플리케이션을 호스트하기 위해, 개발자가 클라우드에서 구동되는 워크플로우를 만들 수 있습니다.
그림 5: Workflow Service는 HTTP나 Service Bus를 통해 통신하는 WF 기반의 애플리케이션을 만들 수 있도록 함
워크플로우 서비스를 위한 애플리케이션을 만들기 위해서는 개발자가 Visual Studio의 표준 Workflow 디자이너를 사용할 수 있습니다. 일단 쓰여지면, WF 기반의 애플리케이션은 브라우저 기반의 포탈을 사용하거나 Workflow API를 통해 배포될 수 있죠. 서비스 버스와 마찬가지로 Workflow 서비스와 연동되는 애플리케이션은 Access Control Service로부터 토큰을 받아야만 한다. (Trusted STS) WF 기반의 애플리케이션이 모든 경우에 적합한 대안은 아니지만 적절한 시나리오에 활용하는 것을 고려하는 것은 가능할 것 같습니다.
SQL Services
데이터를 저장하고, 분석하고, 리포트를 만드는 등의 모든 작업을 포괄하는 서비스입니다. 데이터베이스가 제공하는 핵심적인 기능들을 제공하기 위한, 그 첫 번째 시도가 SQL Data Services 입니다.
클라우드 상의 데이터베이스는 많은 경우에 매력적입니다. 많은 기업이 전문적인 서비스 제공자가 안정성, 백업 대행, 기타 관리적인 부분을 대신하는 것에 관심이 있습니다. 클라우드 상의 데이터는 애플리케이션이 모바일 장치를 포함하여 어디서든 다 접근이 가능하다는 것이 매력입니다. 서비스 제공자는 규모의 경제를 통해서 좋고, 비용이 직접 구축하는 것에 비해 훨씬 저렴합니다.
그림 6: SQL Data Services는 데이터센터에 authorities로 나뉘어 저장되고, authority는 container를 갖고 있으며, container는 Entity를 실제적인 값은 Property에 저장됨
하지만, 인터넷 같이 불특정 상황의 확장성이 요구되는 공간에 안정적이고, 고성능 데이터베이스를 제공하는 것은 쉬운 일이 아닙니다. Tradeoff이 요구되는 것이죠. SQL Database는 표준 관계형 데이터베이스를 제공하는 것이 아니고, SQL 쿼리를 지원하지도 않습니다. 데이터가 구조적인 형태로 조직화 되어 있습니다.SQL Data Services는 여러 데이터센터에 나뉘어서 정보를 저장합니다. 각 데이터 센터는 일정양의 Authorities를 갖고 있는데, Authority는 geo-location의 Unit이고, 유일한 DNS 이름을 갖습니다. Authority는 Containers를 보유하고, 그 각각을 여러 데이터센터에 복제해 놓습니다. Containers는 로드 밸런싱과 가용성을 목적으로 사용됩니다. 만약, 오류가 생기면 SQL Data Services는 자동으로 Container의 복제본을 사용하도록 변경 됩니다. 모든 쿼리는 특정 container를 대상으로 이루어지고, authority를 넘어서는 쿼리는 허용되지 않습니다. 각 container는 몇 개의 entity를 갖고 있고, 이 entity는 property 정보를 갖습니다. 이 property가 name, 데이터타입, 그리고 그 데이터타입의 값을 갖게 됩니다. SQL Data Services는 String, DataTime, Base64Binary, Boolean, Decimal 등의 데이터 타입을 지원하고,애플리케이션은 MIME Type을 가지고 Blobs을 저장할 수 있습니다.
이 데이터를 조회하기 위해 애플리케이션은 몇 개의 옵션을 갖고 있습니다. 하나는 LINQ C# Syntax와 유사한 언어를 사용하여, SOAP,RESTful 응 통해 쿼리를 보내는 방법입니다. 다른 하나는 ADO.NET Data Services를 사용하는 것입니다 (RESTful 방식의 대안). 또 다른 경우에는 애플리케이션이 ==, !=, <,>, AND, OR, NOT 등의 연산자를 container를 대상으로 보내는 것입니다. 쿼리는 ORDER By, Join같은 SQL과 유사한 연산을 포함할 수 있습니다.
쿼리는 프로퍼티가 아닌 entity를 대상으로 조회, 수정 등의 연산을 할 수 있습니다. 쿼리는 엔티티들에 대한 값을 리턴하는데, 포함한 모든 프로퍼티를 포함하여 조회할 수도 있습니다. 엔티티는 미리 지정된 스키마를 갖고 있지 않기 때문에, 프로퍼티는 다양한 데이터 유형을 가질 수 있습니다.SQL Data Services 내부의 데이터는 URI를 가지고 불리워지는데 일반적인 형태는 아래와 같습니다.
http://<Authority>.data.database.windows.net/v1/<Container>/<Entity>
데이터는 REST를 통해 접근될 수 있고 (HTTP), 어떤 플랫폼상의 애플리케이션도 SOAP을 통해 사용 가능합니다. 플랫폼의 종류와 관계없이 애플리케이션은 SQL Data Services에 미리 정의된 사용자이름/패스워드, 또는 Access Control 서비스 STS에 의해 만들어진 Token에 의해 사용자를 인증할 수 있습다.
마이크로소프트는 SQL Data Services를 지금 보다 더 관계형에 가까운 기술로 진화시키고 있다.
David Chappell의 글을 기준으로 작성하였습니다.