아키텍트2009. 3. 17. 11:22

Windows Server 2008 R2에서 더욱 강력해진 기능을 꼽으라면 Hyper-V라고 이야기하고 싶습니다.

Live Migration의 기능을 설명 드리겠습니다.
두 대의 호스트서버 A,B가 있습니다. 각 호스트서버에 가상머신 1,2가 구동중인데, 호스트 A에 구동중인 가상머신 1을 서비스 중단 없이 호스트 B로 보내는 것을 의미하죠. 가상머신 1에 연결된 사용자는 반응속도가 약간 떨어지는 것은 느낄지 모르지만, 물리적인 서버가 옮겨졌다는 것은 알지 못합니다.

 
그림1. Cluster Shared Volumes

Live Migration은 Windows Server 2008 R2에 포함된 Cluster Shared Volumes을 사용합니다. CSV는 같은 Failover Cluster안에 있는 여러 노드 들이 같은 LUN(Logical Unit Number)를 접근하도록 설계되어 있습니다. VM(가상머신) 관점에서는 각 VM이 자신만의 LUN을 가진 것처럼 보이지만 각 VM들은 같은 CSV Volume에 저장되어 있는 거죠. 
CSV안에 있는 각 노드들은 같은 이름과 경로를 갖게 됩니다.


그림2. CSV안의 같은 네임스페이스를 사용하는 예

CSV Volumes (Volume1, Volume2, Volume3)은 ClusterStorage 폴더에 저장되어 있습니다. ClusterStorage가 E: 드라이브에 위치하고 있다면 각 CSV Volume은 아래와 같이 접근 가능합니다.
E:\ClusterStorage\Volume1\Root, …

별도의 툴을 사용할 필요도 없죠? 아주 간단합니다.

또한 장점은 위의 노드 간에 단절이 발생할 때 Redirection을 통해 장애를 극복 가능합니다. 예를들면 Cluster Node2가 SAN 접근하는 경로에 장애가 발생하면 Cluster Node1으로 연결이 이루어져 SAN 접근이 가능해지는 것이죠.

괜찮죠?

Posted by 조이트리
아키텍트2009. 3. 16. 15:37

주관: 서강대학교 지식서비스R&D센터
주최:  KRG
일시: 2009년 3월 24일(화) 09:30 ~ 17:00
장소: 서강대학교 마태오관 9층 리셉션홀

위 행사에서 14:10 ~ 14:50까지 ‘클라우드 컴퓨팅과 WOA’라는 주제로 발표를 진행합니다.
유료 세미나라 참석해달라고 하긴 좀 부담스럽네요. ^^

나중에 해당 내용에 대해서 공유하도록 하겠습니다.

감사합니다.

Posted by 조이트리
아키텍트2009. 3. 15. 21:58
제가 추진위원으로 참여하고 있던 "한국클라우드서비스협의회"가 공식 출범했습니다.
3월 13일 잠실 롯데호텔에서 형태근 방송통신위원회 상임위원을 비롯하여 KT, 삼성전자, 마이크로소프트, IBM, 교수, KISTI, ETRI 등 국내․외 기업체 및 관계자가 참석한 가운데 진행되었습니다.

앞으로 많은 활동 및 사업이 기대됩니다. 향후 공유할 만한 내용은 제가 블로그를 통해 계속 중개하도록 하겠습니다. 많은 관심 가져주세요.
Posted by 조이트리
아키텍트2009. 3. 13. 14:14

미국을 움직이는 중심, 백악관, 오바마 대통령, 연방 정부, IT의 도움이 반드시 필요합니다.
그 IT 부서에 CIO가 있고, 바로 Vivek Kundra가 그 주인공 입니다.
그 분이 바라보는 클라우드 컴퓨팅, 제가 이야기 하는 것보다 아주 조금(?) 더 영향력이 있지 않을까 하는 마음에 글을 적어 봅니다.

그 분의 블로그를 보면 이런 부분이 등장합니다.
“클라우드 컴퓨팅은 선택 가능한 아키텍처 상의 하나의 옵션이다”
제가 전에 이야기했던 내용과 유사하지 않나요? On-Premise (직접설치), 호스팅/IDC 업무 대행, 클라우드 컴퓨팅 환경을 활용하는 3가지 옵션이 가능하다고 했던 그 내용과 일맥 상통합니다.

"I'm a big believer in disruptive technology," he said. To him, following the traditional approach of only investing in tried-and-true systems is a sure way to become outdated. "If I went to the coffee shop, I would have more computing power than the police department," he said. "Consumers had better technology than the government did."

“자기는 혁신적인(파괴적인) 기술을 신봉하는 사람이고, 전통적인 방식이 옳은 것이라고 따라가는 건 분명 구식이 되고 만다. 정부 공공기관보다 일반 커피숍 등이 더 뛰어난 기술을 채택, 사용하고 있다.”
요지는 공공기관의 IT 수준이 일반 사회 보다 뒤떨어진다는 거죠.

주, 지방 및 연방 정부가 정보 시스템을 향상시키는 방안을 검토 중인데, 클라우드 컴퓨팅이 우선순위가 상당히 높다고 합니다. 이전에는 대부분의 관료들이 “보안이 취약하고, 상용이고, 일자리를 빼앗길 것”이라며 부정적이었지만 사실 이런 것들은 사실이 아니다 라고 이야기를 하고 있습니다. 또한, 본인의 경험으로 봐도 장소에 관계없이 업무가 이루어져야 하기에 클라우드 서비스가 확대되어야 하며, SaaS 형태를 검토하지 않은 프로젝트는 모두 반려하고 있다고 밝히고 있습니다. 세금을 절감하면서도 더 효율적인 IT 인프라를 구축할 수 있는 옵션으로 관심을 받게 될 거라는 거죠. 또한, 연방 정부에서 대규모는 아니지만, 클라우드 컴퓨팅을 일부 사용하고 있고 앞으로 구축될 시스템들 중의 일부는 클라우드 기반으로 이루어질 것이라고 합니다.

하지만 여전히 부정적인 의견도 만만치 않습니다.

여기에 대한 미국 백악관 CIO의 제안
1) 완전한 개편이 아니다, 하나의 선택 가능한 대안으로 인식하라
    . 이전 시스템을 클라우드로 바꾸는 것은 바람직하지 않다
2) 장기적인 이점에 주안점을 두라
    . 필요할 때 추가적인 컴퓨팅 자원을 쉽게 얻을 수 있는 것 (구매, 설치 등의 복잡한 절차 불필요)
3) 좋은 아키텍처가 필요하고, 보안 및 거버넌스도 반드시 고려 되야 한다

이점은 무엇일까요? Easy Setup (원할 때 쉽게 사용), Scalability (확장성), Pay as you go (사용한 만큼 비용 지불)

Posted by 조이트리
아키텍트2009. 3. 13. 10:59

잘 아시는 것처럼 마이크로소프트의 Azure Services Platform의 일부인 SQL Data Services (클라우드 상의 데이터베이스를 사용할 수 있는 서비스)가 있죠? 지금까지는 웹표준 프로토콜 REST, SOAP을 API를 통해 데이터를 다루도록 되어 있었습니다. 그런데, 이제는 기존에 관계형 데이터베이스를 다룰 때 사용하시던 T-SQL(Transact-SQL)과 호환되는 TDS(Tabular Data Stream)을 통해 이용할 수 있게 되었습니다.

그러니까 2가지 방법을 이용해서 SQL Data Services를 쓸 수 있게 된 겁니다.

1. REST, SOAP 등의 오픈 스탠다드 기반을 이용하는 방법 (아무래도 기존의 익숙한 방법보다, 새롭게 배워야죠)
2. 기존 T-SQL에서 사용하던 구문을 그대로 사용하는 TDS를 이용하는 방법

편하신 방법을 이용하시면 되는 거죠. ^^
올 중순까지는 CTP(Community Technology Preview) 상태이고요, 연말에 정식 서비스가 개시될 예정입니다.

Posted by 조이트리
아키텍트2009. 3. 3. 11:20

2008년 12월, 한국소프트웨어진흥원이 주관한 ‘SaaS Escrow 제도 도입방안 연구’에 참여했었는데, 보고서가 나왔습니다. 단국대학교 손승우 교수님, 마이크로소프트 신현석 부장 (접니다), KIPA 김태열 박사님, 이민우 선임님이 공동 연구자로 참여했습니다.

핵심은 이렇습니다.
SaaS는 빌려 쓰는 모델이기에 기존 라이선스 모델과는 차이가 있죠. 즉, 서비스 제공자가 운영을 대신 하는데 여기서 장애가 발생하면 ‘눈 뜨고 장애가 해결되기를’ 기다리는 수 밖에 없다는 거죠.
서비스 제공기업의 폐업, 파산, 천재지변, 재해 등으로 인해 갑작스런 서비스의 중단 위험과 데이터 분실에 대한 불안감이 존재하게 됩니다. 고객 정보, 중요한 경영 정보를 담고 있다면 아주 심각한 위기 상황이 초래되는 것이죠.
따라서, 이러한 위협에 대한 해소는 SaaS 활성화를 위해 선행되어야 할 과제 입니다.

기술 거래에 있어 개발기업의 기술력을 보고하고 사용기업의 안정적 사업 수행을 보장하기 위해 개발 기업의 기술자료를 신뢰성 있는 제3의 기관에 임치(Escrow)하고 일정한 교부조건이 발생하는 경우에 사용기업에게 기술 자료를 교부하는 기술 임치(Technology Escrow) 제도가 있는데, 기술 임치 제도는 시스템의 안정적 유지, 보수, 기술 탈취 방지, 담보 등 다양한 목적으로 활용되고 있습니다.

SaaS Escrow는 예기치 못한 서비스 중단 시에 SaaS 운영 소프트웨어에 대한 기술 자료를 임치할 뿐만 아니라 고객의 데이터에 대한 보호도 함께 제공함으로 SaaS 서비스의 신뢰성과 안정성을 제고하는 것이 필요합니다. 즉, 단순히 임치기관에서 소스코드만을 임치해두고 일정한 조건이 발생했을 때 교부하는 것이 아니라, 서비스가 제공되는 시간에 임치기관에서도 서비스가 운용되고 있어야 하며, 고객 데이터도 실시간으로 저장해 둠으로써 파업, 천재지변 등으로 인한 서비스 중단 시 즉각적으로 동일한 서비스를 제공함으로써 서비스 이용자의 중단 없는 서비스 이용이 가능하도록 하는 것이 Saas Escrow의 필수적인 서비스 입니다.

미국, 영국 등에서는 SaaS Escrow 서비스를 민간에서 실시하고 있지만, 우리나라는 아직 태동기라 민간에서 활성화되지 않고 있습니다.

SaaS 활성화를 위해서는 국내에서 꼭 도입되어야 할 제도라고 생각합니다.

Posted by 조이트리
아키텍트2009. 3. 2. 16:27

http://www.windowslovephp.co.kr/

Windows Server와 PHP가 궁합이 잘 맞는다고 전에 글을 올렸었는데요, 그 확실한 증거가 생겼습니다.
대한민국을 대표하는 오픈소스 프로젝트 & PHP 소프트웨어인 Zeroboard XE와 Textcube가 Windows Server 2008을 공식 지원합니다.

친절한 설치 가이드도 제공됩니다. 위의 사이트에 가셔서 구성 가이드, 필요한 소프트웨어를 다운 받으세요.
또한, 천생연분 이벤트를 클릭하시면 Best Story상에는 ASUS 미니노트북 등의 경품 이외에 Story를 올린 선착순 100분에게 무조건 버거킹 주니어 와퍼 세트를 쏩니다.

내용을 보시고, 참여해보세요.

Posted by 조이트리
아키텍트2009. 2. 27. 14:39

“측정할 수 없는 것은 관리할 수 없습니다.”

데이터센터의 전력 사용량을 어떻게 관리하시나요?
1. 데이터센터의 총 전력 사용량만 알 수 있다
2. 데이터센터 내의 Rack 단위로 전력 사용량을 알 수 있다.
3. 개별 서버, 스토리지, 네트웍 장비 별 전력 사용량을 알 수 있다.

많은 경우 1번, 데이터센터의 총 전력 사용량만 확인 하고 계십니다.
Rack 단위로 전력 사용량을 확인하는 경우도 가끔 계십니다.
개별 서버, 스토리지, 네트웍 장비 별로 전력 사용량을 관리할 수 있는 회사는 거의 없습니다. 

전력 사용량의 증가로 인한 전기료가 급격히 늘어나고 있습니다. 데이터센터의 공간은 남아 있는데, 전원 용량 부족으로 서버를 더 이상 받을 수 없는 그런 경우도 발생하곤 합니다.

A회사, B회사가 서버 20대씩을 1개의 Rack에 장착하여 사용하고 있습니다.
A회사는 20대 서버의 서버 부하가 엄청 높은 회사이고 24시간 내내 70~80% 이상 사용하고 있습니다.
B회사는 20대 서버의 CPU 점유율이 10% 이내이고, 업무시간에만 주로 사용합니다.

실제로 A회사, B회사는 동일한 Rack 사용량 (시설사용료)를 냅니다. A회사는 전기료를 엄청 많이 사용하기 때문에 데이터센터는 매출보다 비용이 더 커 손실을 입을 수도 있고, B회사는 전기료를 적게 사용하기 때문에 수익이 많이 남겠죠. 즉, B회사로부터 받은 돈으로 A회사의 전기료 손실 부분을 메우는 형태가 될 수도 있다는 것이죠.

각 회사의 부서별로 비용을 배분 하는 경우에도 Rack 공간 만큼으로만 계산하는 것은 불합리합니다.
서버, 네트웍, 스토리지 별로 사용 전력량을 체크할 수 있어야 합리적인 비용 청구가 되지 않을까요?

바로 이 전력 사용량이 온실가스 배출량과도 연계 되어 관리할 수 있게 되는 것이죠.
녹색성장기본법이 입법예고 된 사실 아시죠? 온실가스 배출권 거래제도 역시 포함되어 있습니다. 그린 IT는 이제는 선택이 아닌 필수 사항이 되고 있는데, 발 빠른 움직임이 필요한 시기 입니다.

Posted by 조이트리
아키텍트2009. 2. 27. 10:50

마이크로소프트의 CEO, 스티브 발머 사장님이 금융권 관련 단체를 대상으로 한 모임에서 “Windows Azure는 올해 11월에 예정된 PDC(Professional Developer Conference)에 맞춰 정식 서비스를 진행 할 수 있을 것 같다”라고 밝혔습니다.

또한, Microsoft의 클라우드 인프라스트럭처 서비스 그룹의 Doug Hauger는 Azure의 가격 정책에 대해 조만간 발표할 것이라고 투자자를 대상으로 한 모임에서 밝혔습니다. 직접 설치하는 On-Premise 방식보다 저렴하게 책정, Pay-as-you-go (사용하는 만큼 비용을 지불하는 형태) 가능, 선납 시 비용을 할인해주는 등의 정책이 있다고 밝혔네요.

클라우드 컴퓨팅, Windows Azure가 조금씩 더 현실로 다가오고 있습니다.

Posted by 조이트리
아키텍트2009. 2. 25. 17:42

앞에 썼던 글을 조금 더 깊이 있게 살펴 보는 글입니다.

Windows Azure

Windows Azure는 두 가지 중요한 일을 합니다. 애플리케이션을 구동하고, 데이터를 저장하는 거죠. 


그림 1: 최초 CTP 버전에서 Windows Azure 애플리케이션은 Web role, Worker role 인스턴스로 이루어지고, 각 인스턴스는 자신의 VM (가상머신) 위에서 구동됨

애플리케이션 구동

애플리케이션은 여러 개의 인스턴스를 가지고 있는데, 인스턴스는 전체 복사본 또는 애플리케이션의 일부를 포함하고 있습니다. 각 인스턴스는 자신만의 가상머신(VM) 위에서 구동되는데, 이 가상머신들은 64비트 Windows Server 2008 환경이고, 클라우드에서 사용되도록 디자인된 Hypervisor에 의해 제공됩니다. 그렇지만, Windows Azure 애플리케이션은 실제로 그 가상머신을 볼 수 없게 설계되어 있습니다. 개발자가 가진 VM 이미지를 Windows Azure에서 구동하는 것은 지원되지 않습니다. 그대신 , CTP 버전은 개발자가 Web Role 인스턴스, Worker Role 인스턴스를 통해 .NET 3.5 기반의 애플리케이션을 만들 수 있도록 되어 있습니다. 이름에서 알 수 있듯이, Web Role 인스턴스는 IIS7을 경유하여 HTTP (HTTPs) 요청을 받아 들이는데, Web Role은 IIS와 함께 동작하는 ASP.NET, WCF, .NET Framwork 기술을 통해 구현할 수 있습니다. Windows Azure는 동일한 애플리케이션의 일부분인 전체 Web Role 인스턴스 간에 요청을 분산할 수 있도록 빌트인 로드밸런싱을 제공합니다.

반면에, Worker Role 인스턴스는 외부로부터 요청을 직접 받아들 일 수 없게 되어 있습니다. 어떤 유형의 네트웍 커넥션도 허용되지 않고, IIS가 VM 안에서 구동되지도 않습니다. 그대신, Web Role 인스턴스에서 입력이 들어와서, Windows Azure Storage에 Queue 형태로 저장됩니다. 작업의 결과 값이 Windows Azure Storage에 저장되거나 외부로 보내지고, 외부로 나가는 연결을 허용하는 거죠. Incoming HTTP 요청을 처리하고, 요청이 처리된 후 shutdown 하는 Web Role과 다르게 Worker Role 인스턴스는 배치 작업처럼 무한정 길게 구동될 수 있습니다. 이런 특징에 맞게 Worker Role은 main() method를 가진 어떤 .NET Technoloy로도 구현될 수 있습니다. (Windows Azure Trust가 보장된다는 조건하에)

Web Role 인스턴스, Worker Role 인스턴스에 관계 없이 각 VM은 Windows Azure Fabric과 상호 교류할 수 있도록 해주는 Windows Azure Agent를 포함하고 있습니다. 이 Agent는 인스턴스가 Windows Azure 관리 로그를 쓸 수 있는 Windows Azure에서 정의된 API를 제공하며, 소유자에게 Windows Azure fabric을 경유하여 경고를 보내주기도 합니다. 시간이 지나면 바뀔 수도 있겠지만, Windows Azure의 초기 릴리즈 버전은 VM과 물리적 프로세서 코어 간 1:1 관계를 유지하게 되어 있고 이 원칙 때문에 각 애플리케이션의 성능이 보장됩니다. 각 Web Role, Worker Role 인스턴스는 자신에게 할당된 프로세서 코어가 있는 것입니다. 애플리케이션의 성능을 증가하기 위해, 소유자는 애플리케이션 설정 파일 안에 운영되는 인스턴스의 수를 증가시킬 수 있습니다.

그런 후에 Windows Azure Fabric이 새로운 VM을 생성한 후, 코어에 할당하고 이 애플리케이션에 더 많은 인스턴스를 구동하도록 합니다. Fabric은 또한 Web Role, Worker Role 인스턴스에 오류가 발생했을 때 새로운 인스턴스를 구동해주는 역할을 합니다.

이것이 의미하는 바는 확장성을 보장하기 위해, Windows Azure의 Web Role 인스턴스는 stateless 여야만 한다는 것이죠. 상태 정보는 Windows Azure Storage에 쓰여지거나, 쿠키를 이용하여 클라이언트로 보내져야만 합니다. Web Role의 statelessness는 또한 Windows Azure의 빌트인 로드 밸런서에 의해 강제화 되어집니다. 왜냐하면, 요청이 특정 웹 Role 인스턴스 에게만 보내지는 것을 허용하지 않기 때문이고, 한 사용자가 사용하는 여러 요청들이 동일 인스턴스로 보내진다는 보장이 없기 때문이죠. Web Role과 Worker Role은 모두 표준 .NET 기술을 사용하여 구현되었지만 현재 있는 .NET Framework 애플리케이션을 Windows Azure로 변경 없이 사용하도록 하는 것은 불가능합니다. 애플리케이션이 스토리지를 접근하는 방식이 다르기 때문이죠. Windows Azure Storage에 대한 접근은 ADO.NET 웹 서비스를 사용하는데, 상대적으로 새로운 기술이고 아직 On-Premise 애플리케이션 사이에서는 사용되고 있지 않습니다. 유사하게, Worker role 인스턴스는 입력을 위해서는 Windows Azure 스토리지의 Queue를 이용합니다. 또 다른 제약사항은 Windows Azure 애플리케이션은 Full Trust 환경에서는 구동되지 않고,  마이크로소프트가 Windows Azure trust라고 부르는 것에 제한되는데, 여러 ASP.NET 호스팅 업체에 의해 허용되는 Medium Trust와 유사하다고 보면 됩니다.

개발자 입장에서, CTP 버전의 Windows Azure 애플리케이션을 개발하는 것은 전통적인 .NET 애플리케이션을 만드는 것과 거의 같습니다. 마이크로소프트는 Windows Azure Web Role, Worker Role, 두 가지를 함께 쓸 수 있는 Visual Studio 2008 프로젝트 템플릿을 제공한다. 개발자는 어떤 .NET 언어든 사용할 수 있습니다 (최초 버전에서는 C# 지원). 또한, Windows Azure 소프트웨어 개발 Kit은 개발자의 데스크탑에서 운영할 수 있는 Windows Azure 환경을 포함하고 있다. (에뮬레이션) 이 Windows Azure-in-a-box는 Windows Azure Storage, Windows Azure agent, 그리고 클라우드 상에서 애플리케이션이 구동하면서 필요한 것은 다 포함되어 있습니다. 개발자는 이 환경에서 애플리케이션 디버깅을 할 수 있고, 테스트가 완료됐을 때 실제 Windows Azure Cloud로 배포할 수 있습니다. 아직도, 몇 가지는 실제 클라우드와 완전히 똑 같지는 않습니다. 참고로 클라우드 기반 애플리케이션에 디버거를 연결하는 것은 불가능하다. 로컬에서 테스트 한 후에 올려야 한다는 거죠. Windows Azure는 개발자를 위한 다른 서비스를 제공하는데, 예를들면 Windows Azure agent를 통해 경고 문자열을 보내고, Windows Azure는 이메일, 인스턴트 메시지 등을 통해 포워드하는 등이 그 예입니다. Windows Azure fabric은 애플리케이션 실패를 감지하고, 결고를 보낼 수 있고 또한, 애플리케이션의 자원 소비량, 프로세서 시간, incoming & outcome 대역폭, 스토리지 등에 대한 상세한 정보를 제공합니다.

Accessing Data

애플리케이션은 데이터와 다양한 방식으로 동작합니다. 어떤 때는 Blob, 또 다른 때는 훨씬 더 구조화된 방식이 필요하기도 하죠. 어떤 애플리케이션이든 데이터를 교환하는 방식이 필요한 것입니다. Windows Azure는 3가지 형태를 지원합니다. Blobs, Tables, Queues

 

그림2. Windows Azure는 HTTP를 통해 RESTful 스타일로 Blobs, Tables, Queues를 지원한다.

가장 간단한 건, blobs을 사용하는 방식 입니다. 스토리지 계정은 하나 또는 더 많은 개수의 컨테이너를 갖고 있고, 이 컨테이너는 하나 또는 더 많은 개수의 blob을 갖고 있습니다. Blob은 1개당 50기가 바이트 크기까지 가능하고, 각 blob은 블록으로 나뉘어 질 수 있습니다. 만약 오류가 발생하면, 전체 blob을 다시 보내는 것이 아니고 가장 최근의 block을 다시 보내주는 방식입니다. Blobs은 연관된 메타데이터 정보, JPEG 사진을 어디서 찍었고, MP3파일의 작곡가가 누구인지 등에 대한 정보를 가질 수 있다. Blob은 특정한 데이터, 사진, MP3, WMV 파일 등을 위해서는 좋지만, 많은 경우에는 적합하지 않죠. 따라서, Windows Azure는 Tables 을 지원합니다. 엔티티의 계층구조를 저장할 수 있는데, 테이블은 정해진 스키마를 가지고 있지 않고, 프로퍼티를 통해 다양한 유형의 데이터 타입, 문자열, Int, Bool, DateTime 등을 가질 수 있습니다. Windows Azure의 Storage는 SQL을 사용하는 것이 아니고, LINQ Syntax 등의 쿼리 언어를 사용하여 테이블의 데이터를 CRUD 할 수 있습니다. 테이블 한 개는 엄청 커질 수 있고, 수십억개의 엔티티를 저장할 수도 있는데, 이 것은 Windows Azure Storage가 성능을 향상할 수 있도록 여러 서버에 파티션으로 저장하기 때문입니다. Blobs과 Table은 데이터를 저장하는 목적이 있지만, 세 번째 방법은 Queue이고 다른 용도를 가지고 있습니다. 바로 그것은 Web Role 인스턴스가 Worker Role 인스턴스와 통신할 수 있는 방법을 제공합니다.

예를들면, 사용자가 Windows Azure Web Role을 통해 구현된 웹 페이지에서 컴퓨팅을 많이 필요로 하는 작업을 요청할 때 Web Role 인스턴스가 이 요청을 받아서 어떤 작업이 이루어져야 하는지에 대한 메시지를 큐에 넣고 Worker Role 인스턴스가 이 큐에 있는 값을 읽어서 정해진 작업을 수행하고, 다른 큐를 통해 해당 결과 값을 돌려줄 수 있게 됩니다. Blob, table, queue에 관계 없이 Windows Azure storage에 저장된 데이터는 3번 복제 된다. Falut tolerance를 구현하기 위한 것이고, 1곳, 또는 2곳의 오류는 심각한 이슈를 발생하지 않겠죠.

Windows Azure storage는 Windows Azure 애플리케이션, 또는 다른 곳에서 구동되는 애플리케이션을 통해서도 접근 가능합니다. 모든 경우에 Windows Azure 스토리지 유형은 데이터를 노출시키는데 REST 방식을 사용합니다. 모든 것은 URI로 이름이 부여되어 있고, 표준 HTTP 방식으로 처리됩니다. .NET 클라이언트는 ADO.NET 서비스나 LINQ를 사용할 수 있지만, Java 애플리케이션으로 Windows Azure Storage를 접근하려면 표준 REST 방식을 사용할 수 있습니다. 예를들면, blob은 HTTP GET을 이용해, URI를 아래와 같이 부를 수 있습니다.

.blob.core.windows.net//">http://<StorageAccount>.blob.core.windows.net/<Container>/<Blobname>
<Storage Account>는 새로운 Storage Account가 생성될 때 지정되는 식별자이고, 유일하게 이 계정에서 생성된 blob, table, queue를 찾아낼 수 있게 해줍니다. <Container>, <Blobname>은 컨테이너의 이름이고, 이 요청이 접근할 blob의 이름을 의미하죠.

유사하게 특정 table을 부를 때 사용되는 것은 아래와 같습니다.
.table.core.windows.net/?filter=">http://<StorageAccount>.table.core.windows.net/<TableName>?filter=<Query>
<TableName>은 조회될 테이블을 지정하고, <Query>는이 테이블에 실행될 쿼리문을 포함합니다.

Queue 역시 위와 같은 방식으로 사용된다
Http://<StorageAccount>.queue.core.windows.net/<QueueName>

Windows Azure 플랫폼은 Compute와 Storage 자원을 독립적으로 비용을 책정합니다. 이건 어떤 의미냐 하면 On-Premise 애플리케이션은 앞에 언급됐던 RESTful 방식으로 Windows Azure Storage만 사용할 수 있다는 것이죠. 물론 주요 목적은 Azure 애플리케이션의 데이터를 저장하는 것이지만, 다양한 형태로 사용될 수 있다는 것은 분명합니다. 애플리케이션을 사용하는 목적은 On-Premise든, Cloud든 애플리케이션 자체와 데이터를 지원하는 것입니다. Windows Azure 는 이러한 것들에 대한 기본적인 부분을 충실히 지원합니다.

.NET Services

클라우드 기반의 인프라스트럭처, 이 서비스는 On-Premise 또는 클라우드 기반 애플리케이션에 의해 모두 사용될 수 있습니다.

Access Control

Identity는 모든 분산 애플리케이션의 근원적인 부분입니다. 사용자의 Identity 정보를 기반으로 사용자가 어떤 일을 하도록 할 것인지 결정하게 되는데 이 정보를 전송하기 위해 애플리케이션은 SAML(Security Assertion Markup Lanaguage)를 사용하는 토큰을 사용합니다. SAML 토큰은 클레임, 각 사용자에 대한 정보 들을 나눠서 저장하고 전달하는, 값을 갖고 있는데, 하나의 클레임은 이름을 갖고 있고, 또 다른 클레임은 관리자와 같은 Role에 대한 정보를 갖고 있고, 다른 클레임은 이메일 값을 가지고 있을 수 있습니다. 토큰들은 STS(Security Token Service)라고 하는 소프트웨어에 의해 생성되는데, 각각 디지털적으로 그 Source값을 검증하도록 되어 있는 방식이죠.

클라이언트 (브라우저)가 사용자의 토큰을 가지고 있고, 그 토큰 값을 애플리케이션에게 제시할 수 있습니다. 애플리케이션은 이 사용자가 어떤 일을 할 수 있는지 결정하는데 그 토큰의 클레임을 사용하는 방식입니다. 여기에는 몇 가지 문제점을 내포하고 있는데 다음과 같습니다.

  1. 토큰이 애플리케이션이 필요로 하는 클레임을 갖고 있지 않다면? 클레임 기반 아이덴티티를 가지고, 모든 애플리케이션은 클레임의 집합을 자유롭게 정의할 수 있지만, 이 토큰을 만들었던 STS가 이 애플리케이션이 요구하는 클레임을 정확히 입력하지 못했을 수 있습니다.
  2. 애플리케이션이 STS가 생성한 토큰을 신뢰하지 못한다면? 아무 STS로나 생성된 토큰을 애플리케이션이 신뢰할 수는 없겠죠. 대신 애플리케이션은 신뢰된 STS의 인증서 리스트를 선택하여 접근할 수 있고, 서명이나 토큰을 검증할 수 있을 것입니다. 신뢰된 STS를 통해 발급된 토큰만 받아들이는 형태를 취할 수 있습니다.

프로세스안에 또 다른 STS를 집어 넣음으로써 두 가지 문제를 모두 해결할 수 있다. 토큰이 올바른 클레임을 담고 있는지 확인하기 위해 이 추가적인 STS가 클레임 변환을 시도하는 것입니다. STS는 클레임의 입력 및 출력이 어떻게 연관되어야 하는지에 대한 Rule을 정의할 수 있고, 애플리케이션이 요구하는 정확한 클레임을 포함하고 있는 새로운 토큰을 생성할 수 있는 룰을 사용할 수 있습니다.

두 번째 문제를 해결하기 위해, 일반적으로 애플리케이션이 새로운 STS를 신뢰할 수 있도록 하는 Identity Federation이라는 하는 방식을 사용합니다. 새로운 STS와 STS의 토큰을 요청 받은 측과 신뢰 관계를 형성하는 것입니다. 또 다른 STS를 집어 넣는 데는 클레임 변환과 Identity Federation을 사용할 수 있습니다.

이 STS를 어디에서 구동해야 하나? 조직 내부에서 구동할 수도 있고, 다른 벤더에서 제공하는 서비스를 사용할 수도 있습니다. 이런 경우에는 조직 내부에 있든 외부에 있든 누구나 접근 가능하고, STS를 운영하는 짐을 서비스 제공자가 담당하도록 하는 것입니다.

바로 이 기능이 Access Control의 역할 입니다. 클라우드 상의 STS인 것이죠. 이 STS가 사용되는 방식을 살펴보겠습니다. ISV가 인터넷 접근 가능한 애플리케이션을 개발했는데 이 애플리케이션은 여러 다른 조직의 사용자가 사용하고 있습니다. 각 조직에서는 그 조직의 직원을 위해 SAML 토큰을 제공하지만, 이 토큰들은 해당 애플리케이션이 필요로 하는 정확한 클레임을 포함하고 있지 않은 경우가 많습니다.

 

 

그림3: Access Control 서비스는 Rule 기반의 클레임 변환과 Identity Federation을 제공한다

우선, 사용자 애플리케이션 (브라우저, WCF 클라이언트 등)이 사용자의 SAML 토큰을 Access Contril 서비스에 보냅니다 (1), 이 서비스가 해당 토큰의 서명을 검증한 후, STS서비스가 신뢰하는 STS에 의해 생성된 것인지 확인합니다. 해당 서비스가 애플리케이션이 요구하는 클레임을 포함한 새로운 SAML 토큰을 서명한 후 만듭니다 (2). 이러한 작업을 하기 위해 Access Control 서비스의 STS는 사용자가 사용하려는 애플리케이션 소유주가 정의한 룰에 따라 토큰을 만듭니다. 예를 들어, 애플리케이션이 해당 회사의 관리자에게만 접근 권한을 부여한다고 가정해보죠. 각 회사는 사용자가 관리자라고 하는 것을 나타내는 토큰을 클레임에 포함하고 있을 수 있지만, 실제로 표현 방식이 전부 다릅니다. 한 회사는 "Manager", 또는 다른 회사는 "Supervisor"라고 사용하고, 또 다른 회사는 코드를 쓸 수도 있겠죠. 이런 다양한 표현을 처리하기 위해 소유자가 이 세가지 클레임을 공통된 문자열 "Decision Maker"라고 변환하는 Rule을 Access Control에 넣을 수 있을 겁니다. 이 애플리케이션 입장에서는 처리하는 방식이 정말 간단해졌죠. 그렇지 않은가요? ^^

생성된 후에 Access Control 안의 STS가 이 새로운 토큰을 클라이언트에 보냅니다 (3). 그리고 그것을 애플리케이션으로 전송합니다. (4) 애플리케이션이 토큰의 서명을 검증한 후, 그 토큰이 정말로 Access Control Service의 STS에서 만들어졌는지 확인합니다. 서비스의 STS는 각 고객 조직의 STS와 신뢰 관계를 갖고 있어야 하고, 그 애플리케이션은 Access Control Service STS와만 신뢰관계를 가지고 있으면 됩니다. 토큰의 출처만 확인되면, 애플리케이션은 클레임을 통해 이 사용자가 무슨 일을 하게 할지, 말지에 대해 결정할 수 있게 됩니다.

애플리케이션의 특정 Function에 대한 접근을 허용하기 위해, 사용자가 특정 클레임을 제시해야 한다고 생각해보죠. 애플리케이션이 사용자의 토큰을 받았을 때, 이 클레임의 존재 유무에 따라 접근을 허용/거부할 수 있습니다.

Access Control은 모든 통신에 WS-Trust, WS-Federation 같은 표준 프로토콜을 사용합니다. 바로 이것 때문에 어떤 플랫폼을 사용하든, 어떤 애플리케이션이든 관계없이 쓸 수 있게 된 것이죠. Rule을 정의하기 위해 브라우저 기반의 GUI, 프로그래밍을 위한 클라이언트 API를 모두 제공합니다.

클레임 기반의 Identity는 분산 환경을 위한 표준적인 접근 방식입니다. 클라우드에서 STS를 제공함으로 Rule 기반의 클레임 변화을 제공하기 때문에 Access Control은 매력적인 방식 중의 하나라고 생각합니다.

Service Bus

우리 회사 내부에서 구동되는 애플리케이션이 있는데, 인터넷을 통해 다른 회사에서 접근 가능하도록 하고 싶다고 가정해보죠. 당신의 애플리케이션이 웹 서비스로서 구현되었다 (RESTful, SOAP 기반), 이런 경우 이 웹서비스는 외부 세계에서 볼 수 있습니다. 그런데, 실제로 외부세계와 함께 사용하려고 할 때 몇 가지 문제점이 있습니다.

첫째, 다른 조직의 애플리케이션이 당신 서비스에 연결할 Endpoint를 어떻게 찾을 수 있나요? 물론 다른 조직에서 여러분 애플리케이션의 위치를 찾을 수 있는 어떤 레지스트리가 있다면 좋겠지만 말이죠. 일단 찾았다고 하면, 다른 조직의 소프트웨어가 여러분의 애플리케이션에 어떻게 요청을 할 수 있죠? Network Address Translation(NAT)를 사용하고 있고, 애플리케이션이 외부에 노출되기 위한 고정 IP 주소를 가지지 않은 경우에는 어떻게 할까요? 비록 NAT가 사용되지 않더라도, 어떻게 그 요청이 방화벽을 통과하고 들어올 수 있죠? 물론 방화벽에 해당 포트를 개발하면 가능하겠지만, 대부분의 네트웍 관리자는 이런 포트 개방에 대해 부정적입니다. 그렇지 않나요?

 

그림4: Service Bus는 애플리케이션의 endpoint를 등록하고, 다른 애플리케이션이 찾고 접근할 수 있도록 함

당신의 애플리케이션을 Service Bus를 통해 하나, 또는 여러 개의 end point를 등록합니다(1) Service Bus가 당신 조직에 URI Root를 지정하고, 거기서부터 당신은 어떤 이름을 사용하든 관계없이 좋아하는 계층 구조 형태로 만들 수 있습니다. 이렇게 되면 당신의 endpoint가 특정, 검색 가능한 URI에 지정됩니다. 이때 애플리케이션은 노출시킬 endpoint를 위해 Service Bus와 연결을 개방해야 한다. Service Bus가 이 연결의 열려진 상태로 유지하므로 위에 발생했던 문제가 해결되는 것입니다.

첬째, NAT는 더 이상 이슈가 아닌데, 그 이유는 Service Bus에 개방 된 연결을 통해 트래픽이 항상 당신의 애플리케이션으로 라우팅 됩니다.

둘째, 연결이 방화벽 내부에서 이루어졌기 때문에 애플리케이션 사이에 정보를 보내는 것이 더 이상 문제가 아닙니다. 방화벽이 이 트래픽을 차단하지 않기 때문입니다.

다른 조직에서 당신의 애플리케이션에 대한 접근을 원할 때, 서비스버스 Registry를 찾습니다(2) 이 요청은 Atom Publishing 프로토콜을 사용하는데, 당신 애플리케이션의 endpoint에 대한 참조값을 보내는데 AtomPub 서비스 도큐먼트 값을 되돌려줍니다. 일단, 이 값이 있으면, 이 endpoint를 통해 서비스를 가져올 수 있습니다. (3)

각 요청이 Service Bus를 통해 받아들여지고, 당신의 애플리케이션으로 보내 집니다.
커뮤니케이션을 쉽게 하는 장점 이외에도, Service Bus는 보안을 강화시킬 수 있습니다. 클라이언트가 Service Bus에 의해 제공되는 IP주소밖에 볼 수 없기 때문에, 여러분 조직의 IP 주소를 외부로 노출시킬 필요가 없게 되는 거죠. 여러분의 애플리케이션은 anoynymous로 보여져, 외부 세계는 IP 주소를 볼 수 없게 됩니다. Service Bus가 외부 DMZ의 역할을 하고, 공격자를 혼란스럽게 하는 역할을 하게 됩니다. 마지막으로, Service Bus는 Access Control 서비스와 함께 사용되도록 만들어졌는데, 룰 기반의 클레임 변환을 허용합니다. 사실, Service Bus는 Access Control의 STS 서비스에 의해 발행된 토큰만 받아들이죠.

Service Bus를 통해 서비스를 노출시키려는 애플리케이션은 주로 WCF를 통해 구현되는데, Java 같은 기술로 구현된 클라이언트들은 SOAP, HTTP 등을 통해 요청할 수 있습니다. 애플리케이션과 클라이언트들은 공격자와 Service Bus 자체의 통신을 보호하기 위해 자체 보안 메커니즘, 암호화 등을 이용할 수 있습니다.

애플리케이션을 외부에 노출시키는 것은 생각만큼 간단하지 않은데, Service Bus는 이것을 아주 간단하게 쓸 수 있도록 해주는 역할을 합니다.

Workflow

Windows Workflow Foundation은 워크플로우 기반의 애플리케이션을 만드는 일반적인 기술입니다. 워크플로의 전형적인 시나리오는 길게 수행되는 프로세스를 제어하는 것이고, 종종 엔터프라이즈 애플리케이션 통합에서 이루어지는 일입이다. WF 기반의 애플리케이션은 많은 종류의 업무를 조율하는데 좋은 방법인데 특히, 그 업무가 다른 조직에 위치한 경우 클라우드 상에서 로직을 제어할 수 있도록 하는 것은 좋은 대안이 된다고 생각합니다.

워크플로우 서비스는 이렇게 진행됩니다. WF3.5 기반의 애플리케이션을 호스트하기 위해, 개발자가 클라우드에서 구동되는 워크플로우를 만들 수 있습니다.

그림 5: Workflow Service는 HTTP나 Service Bus를 통해 통신하는 WF 기반의 애플리케이션을 만들 수 있도록 함

모든 WF 워크플로우는 몇 가지 activitity를 사용하여 구현되는데 각 activity는 메시지를 보내거나 받는 등의 일부터, If 조건문을 구현하거나, While Loop 등의 만드는 등의 작업을 수행합니다. WF는 Base Activity Library(BAL)이라고 불리는 activity의 표준 집합을 제공하는데, Workflow 서비스는 애플리케이션이 BAL의 부분집합을 사용하도록 할 수 있고 자체적인 activity도 제공할 수 있는데, 예를 들면, HTTP를 사용하는 다른 소프트웨어와 통신하거나, 서비스 버스를 사용하는 서비스와 통신할 수 있습니다. 애플리케이션 통합에서 요구되는 XML 메시지와의 연동 등도 가능합니다. 클라우드 상에서 운영됨으로 WF 순차적인 워크플로우 모델만 사용 가능하다는 한계가 있고 임의적으로 작성한 코드는 쓸 수 없습니다.

워크플로우 서비스를 위한 애플리케이션을 만들기 위해서는 개발자가 Visual Studio의 표준 Workflow 디자이너를 사용할 수 있습니다. 일단 쓰여지면, WF 기반의 애플리케이션은 브라우저 기반의 포탈을 사용하거나 Workflow API를 통해 배포될 수 있죠. 서비스 버스와 마찬가지로 Workflow 서비스와 연동되는 애플리케이션은 Access Control Service로부터 토큰을 받아야만 한다. (Trusted STS) WF 기반의 애플리케이션이 모든 경우에 적합한 대안은 아니지만 적절한 시나리오에 활용하는 것을 고려하는 것은 가능할 것 같습니다.

SQL Services

데이터를 저장하고, 분석하고, 리포트를 만드는 등의 모든 작업을 포괄하는 서비스입니다. 데이터베이스가 제공하는 핵심적인 기능들을 제공하기 위한, 그 첫 번째 시도가 SQL Data Services 입니다.

클라우드 상의 데이터베이스는 많은 경우에 매력적입니다. 많은 기업이 전문적인 서비스 제공자가 안정성, 백업 대행, 기타 관리적인 부분을 대신하는 것에 관심이 있습니다. 클라우드 상의 데이터는 애플리케이션이 모바일 장치를 포함하여 어디서든 다 접근이 가능하다는 것이 매력입니다. 서비스 제공자는 규모의 경제를 통해서 좋고, 비용이 직접 구축하는 것에 비해 훨씬 저렴합니다. 


그림 6: SQL Data Services는 데이터센터에 authorities로 나뉘어 저장되고, authority는 container를 갖고 있으며, container는 Entity를 실제적인 값은 Property에 저장됨

 하지만, 인터넷 같이 불특정 상황의 확장성이 요구되는 공간에 안정적이고, 고성능 데이터베이스를 제공하는 것은 쉬운 일이 아닙니다. Tradeoff이 요구되는 것이죠. SQL Database는 표준 관계형 데이터베이스를 제공하는 것이 아니고, SQL 쿼리를 지원하지도 않습니다. 데이터가 구조적인 형태로 조직화 되어 있습니다.
SQL Data Services는 여러 데이터센터에 나뉘어서 정보를 저장합니다. 각 데이터 센터는 일정양의 Authorities를 갖고 있는데, Authority는 geo-location의 Unit이고, 유일한 DNS 이름을 갖습니다. Authority는 Containers를 보유하고, 그 각각을 여러 데이터센터에 복제해 놓습니다. Containers는 로드 밸런싱과 가용성을 목적으로 사용됩니다. 만약, 오류가 생기면 SQL Data Services는 자동으로 Container의 복제본을 사용하도록 변경 됩니다. 모든 쿼리는 특정 container를 대상으로 이루어지고, authority를 넘어서는 쿼리는 허용되지 않습니다. 각 container는 몇 개의 entity를 갖고 있고, 이 entity는 property 정보를 갖습니다. 이 property가 name, 데이터타입, 그리고 그 데이터타입의 값을 갖게 됩니다. SQL Data Services는 String, DataTime, Base64Binary, Boolean, Decimal 등의 데이터 타입을 지원하고,애플리케이션은 MIME Type을 가지고 Blobs을 저장할 수 있습니다.

이 데이터를 조회하기 위해 애플리케이션은 몇 개의 옵션을 갖고 있습니다. 하나는 LINQ C# Syntax와 유사한 언어를 사용하여, SOAP,RESTful 응 통해 쿼리를 보내는 방법입니다. 다른 하나는 ADO.NET Data Services를 사용하는 것입니다 (RESTful 방식의 대안). 또 다른 경우에는 애플리케이션이 ==, !=, <,>, AND, OR, NOT 등의 연산자를 container를 대상으로 보내는 것입니다. 쿼리는 ORDER By, Join같은 SQL과 유사한 연산을 포함할 수 있습니다.

쿼리는 프로퍼티가 아닌 entity를 대상으로 조회, 수정 등의 연산을 할 수 있습니다. 쿼리는 엔티티들에 대한 값을 리턴하는데, 포함한 모든 프로퍼티를 포함하여 조회할 수도 있습니다. 엔티티는 미리 지정된 스키마를 갖고 있지 않기 때문에, 프로퍼티는 다양한 데이터 유형을 가질 수 있습니다.SQL Data Services 내부의 데이터는 URI를 가지고 불리워지는데 일반적인 형태는 아래와 같습니다.

http://<Authority>.data.database.windows.net/v1/<Container>/<Entity>

데이터는 REST를 통해 접근될 수 있고 (HTTP), 어떤 플랫폼상의 애플리케이션도 SOAP을 통해 사용 가능합니다. 플랫폼의 종류와 관계없이 애플리케이션은 SQL Data Services에 미리 정의된 사용자이름/패스워드, 또는 Access Control 서비스 STS에 의해 만들어진 Token에 의해 사용자를 인증할 수 있습다.

마이크로소프트는 SQL Data Services를 지금 보다 더 관계형에 가까운 기술로 진화시키고 있다.

David Chappell의 글을 기준으로 작성하였습니다.

Posted by 조이트리