디지털 Transformation, 데이터센터 & Cloud, 베트남

마이크로소프트의 클라우드 컴퓨팅 플랫폼, Windows Azure, Azure Services Platform에 대해서는 이제 알고 계실텐데요, 마이크로소프트의 아키텍트인 알렉세이가 올 여름에 Azurelignt을 발표하겠다고 하네요.
해당 블로그를 방문하시면 더 많은 정보를 얻으실 수 있습니다.

“‘Azurelight’ is an easy-to-use application for providing basic product support in the cloud, collecting feedback about products and exchanging opinions with other users. It’s also intended to be used by developers as a reference application utilizing both Windows Azure and Silverlight for rich yet scalable and highly available business solutions.”

그러니까, 애저라이트는 제품에 대한 지원 업무를 수행할 수 있는 클라우드 서비스인데, 제품에 대한 피드백을 수집하거나 다른 사용자와 의견을 교환할 수 있게 해주는 거죠.

Azureline는 마이크로소프트의 여러 기술 기반위에 만들어졌는데요, Windows Azure, Silverlight 플러그인 등이 사용되었습니다. 또한, ADO.NET Entity Framework, ADO.NET Data Services, SQL Data Services 등의 기반 서비스를 사용하고 있습니다.

클라우드 컴퓨팅은 클라우드 사업자가 모든 인프라, 플랫폼을 제공하는 “공용 클라우드”와 기업이 자체 클라우드 환경을 구축하는 “사설 클라우드”의 두 가지 유형이 존재합니다.

그 중에서 사설 클라우드는 데이터센터를 자체 운영하는 엔터프라이즈 및 IDC들이 구축할 것으로 예상된다고 말씀드렸는데요, 마이크로소프트 서버 및 툴 총책임자인 President Bog Muglia께서 사설 클라우드 구축에 관해 아래와 같이 밝혔습니다.

"We will move more and more into managing pools of resources," Muglia said. Traditional data centers, and even most virtualized data centers, require administrators to manage servers as discrete entities and to move applications manually. Private clouds will take a much more flexible, scalable, automated approach and draw computing power from pools of resources, rather than discrete servers, and will adopt many of the best practices of public cloud vendors.

요약해보면 이렇습니다. 전통적인 데이터센터, 가상화를 적용한 데이터센터의 경우 관리자가 각 서버 자원들을 직접 관리하면서 그 위에 구동되는 애플리케이션을 수동으로 배포하고 있는데, 사설 클라우드 환경을 적용한 경우 개별 서버에 대한 관리가 아닌 모든 자원들을 Pool 개념으로 묶어서 훨씬 더 유연하고, 확장 가능하며 자동화된 접근 방식을 사용할 수 있다는 거죠.

IT 운영관점의 변화라고 볼 수 있을 것 같은데요 지금까지는 서버 워크로드를 어디에, 어떻게 배치하여 구동할 것인가에 집중하고 있었다면 앞으로는 이러한 일들을 컴퓨터가 대행하게 될 거라는 겁니다. 예를들면, 현재 버전의 가상 머신 관리자(VMM)은 가상서버를 어디에 배치할 것인지를 배치 마법사(Placement Wizard)가 추천하면 관리자가 적용하는 방식으로 이루어지지만, 향후 버전에서는 마법사가 없어지고 프로세스가 자동화될 것으로 보여집니다. 데이터센터 관리자가 자원 풀에 물리적 서버를 추가해놓으면 관리 소프트웨어가 이러한 자원을 가장 최적화하여 사용하는 개념입니다.

시스템 센터는 윈도우, 리눅스 서버등 이기종 환경을 관리할 수 있어야 겠죠. 물론, 현재 시스템 센터도 크로스 플랫폼 확장 add-on을 통해 리눅스 환경을 관리할 수 있습니다.
물론 Windows Server 2008 R2, 새로운 시스템센터 만으로 사설 클라우드를 바로 현실로 만들기는 어렵다고 설명했는데, 그 이유는 애플리케이션이 확장, 병렬 프로세싱을 사용하도록 설계되지 않으면 원하는 형태로 구축이 안될 거라는 거죠. 마이크로소프트 역시 병렬 프로그래밍 패러다임, Oslo 모델링 플랫폼, .Net 프레임웍 등을 통해 애플리케이션이 여러 서버를 가로지르면 구동 가능하도록 개발할 수 있도록 하는데 많은 노력을 기울이고 있습니다.

언제 사설 클라우드 구축이 가능한 Windows  Server R2, System Center가 준비될 것인지에 대해서는 아직 정확한 일정은 없지만, 가까운 미래에 사설 클라우드 구축 역시 하나의 주요한 움직임이 될 것이라고 생각됩니다.

지난 주 마이크로소프트의 Mix09 행사에서 Windows Azure 클라우드 플랫폼 관련하여 의미 있는 발표가 있었습니다.
첫째, PHP 애플리케이션 개발 지원
둘째, Native 코드와 Full Trust 기능 추가

Windows Azure는 클라우드 상의 운영체제라고 말씀 드렸었죠? 처음 발표 때는 .NET만 가능했지만, 이번에 PHP, 다음에는 Ruby, Java 등이 추가될 것으로 예상됩니다.
IIS7의 FastCGI 기능을 통해 PHP on Windows가 최적화 된 것처럼 Azure위의 PHP도 FastCGI가 지원되고, 스트레스 테스트가 완료된 상태입니다. 현재 보유하고 계신 PHP 기술과 애플리케이션을 Windows Azure위에 올려보시는 것 어떠세요? 나중에 글로벌 서비스가 가능해지면 막대한 비용을 버실 수도 있습니다. 우리나라 뿐 아닌 이웃 나라, 아니 먼 나라에 있는 고객에게 까지 다 서비스가 가능해지기 때문이죠.

잘 아시는 것처럼 마이크로소프트의 Azure Services Platform의 일부인 SQL Data Services (클라우드 상의 데이터베이스를 사용할 수 있는 서비스)가 있죠? 지금까지는 웹표준 프로토콜 REST, SOAP을 API를 통해 데이터를 다루도록 되어 있었습니다. 그런데, 이제는 기존에 관계형 데이터베이스를 다룰 때 사용하시던 T-SQL(Transact-SQL)과 호환되는 TDS(Tabular Data Stream)을 통해 이용할 수 있게 되었습니다.

그러니까 2가지 방법을 이용해서 SQL Data Services를 쓸 수 있게 된 겁니다.

1. REST, SOAP 등의 오픈 스탠다드 기반을 이용하는 방법 (아무래도 기존의 익숙한 방법보다, 새롭게 배워야죠)
2. 기존 T-SQL에서 사용하던 구문을 그대로 사용하는 TDS를 이용하는 방법

편하신 방법을 이용하시면 되는 거죠. ^^
올 중순까지는 CTP(Community Technology Preview) 상태이고요, 연말에 정식 서비스가 개시될 예정입니다.

마이크로소프트의 CEO, 스티브 발머 사장님이 금융권 관련 단체를 대상으로 한 모임에서 “Windows Azure는 올해 11월에 예정된 PDC(Professional Developer Conference)에 맞춰 정식 서비스를 진행 할 수 있을 것 같다”라고 밝혔습니다.

또한, Microsoft의 클라우드 인프라스트럭처 서비스 그룹의 Doug Hauger는 Azure의 가격 정책에 대해 조만간 발표할 것이라고 투자자를 대상으로 한 모임에서 밝혔습니다. 직접 설치하는 On-Premise 방식보다 저렴하게 책정, Pay-as-you-go (사용하는 만큼 비용을 지불하는 형태) 가능, 선납 시 비용을 할인해주는 등의 정책이 있다고 밝혔네요.

클라우드 컴퓨팅, Windows Azure가 조금씩 더 현실로 다가오고 있습니다.

앞에 썼던 글을 조금 더 깊이 있게 살펴 보는 글입니다.

Windows Azure

Windows Azure는 두 가지 중요한 일을 합니다. 애플리케이션을 구동하고, 데이터를 저장하는 거죠. 

그림 1: 최초 CTP 버전에서 Windows Azure 애플리케이션은 Web role, Worker role 인스턴스로 이루어지고, 각 인스턴스는 자신의 VM (가상머신) 위에서 구동됨

애플리케이션 구동

애플리케이션은 여러 개의 인스턴스를 가지고 있는데, 인스턴스는 전체 복사본 또는 애플리케이션의 일부를 포함하고 있습니다. 각 인스턴스는 자신만의 가상머신(VM) 위에서 구동되는데, 이 가상머신들은 64비트 Windows Server 2008 환경이고, 클라우드에서 사용되도록 디자인된 Hypervisor에 의해 제공됩니다. 그렇지만, Windows Azure 애플리케이션은 실제로 그 가상머신을 볼 수 없게 설계되어 있습니다. 개발자가 가진 VM 이미지를 Windows Azure에서 구동하는 것은 지원되지 않습니다. 그대신 , CTP 버전은 개발자가 Web Role 인스턴스, Worker Role 인스턴스를 통해 .NET 3.5 기반의 애플리케이션을 만들 수 있도록 되어 있습니다. 이름에서 알 수 있듯이, Web Role 인스턴스는 IIS7을 경유하여 HTTP (HTTPs) 요청을 받아 들이는데, Web Role은 IIS와 함께 동작하는 ASP.NET, WCF, .NET Framwork 기술을 통해 구현할 수 있습니다. Windows Azure는 동일한 애플리케이션의 일부분인 전체 Web Role 인스턴스 간에 요청을 분산할 수 있도록 빌트인 로드밸런싱을 제공합니다.

반면에, Worker Role 인스턴스는 외부로부터 요청을 직접 받아들 일 수 없게 되어 있습니다. 어떤 유형의 네트웍 커넥션도 허용되지 않고, IIS가 VM 안에서 구동되지도 않습니다. 그대신, Web Role 인스턴스에서 입력이 들어와서, Windows Azure Storage에 Queue 형태로 저장됩니다. 작업의 결과 값이 Windows Azure Storage에 저장되거나 외부로 보내지고, 외부로 나가는 연결을 허용하는 거죠. Incoming HTTP 요청을 처리하고, 요청이 처리된 후 shutdown 하는 Web Role과 다르게 Worker Role 인스턴스는 배치 작업처럼 무한정 길게 구동될 수 있습니다. 이런 특징에 맞게 Worker Role은 main() method를 가진 어떤 .NET Technoloy로도 구현될 수 있습니다. (Windows Azure Trust가 보장된다는 조건하에)

Web Role 인스턴스, Worker Role 인스턴스에 관계 없이 각 VM은 Windows Azure Fabric과 상호 교류할 수 있도록 해주는 Windows Azure Agent를 포함하고 있습니다. 이 Agent는 인스턴스가 Windows Azure 관리 로그를 쓸 수 있는 Windows Azure에서 정의된 API를 제공하며, 소유자에게 Windows Azure fabric을 경유하여 경고를 보내주기도 합니다. 시간이 지나면 바뀔 수도 있겠지만, Windows Azure의 초기 릴리즈 버전은 VM과 물리적 프로세서 코어 간 1:1 관계를 유지하게 되어 있고 이 원칙 때문에 각 애플리케이션의 성능이 보장됩니다. 각 Web Role, Worker Role 인스턴스는 자신에게 할당된 프로세서 코어가 있는 것입니다. 애플리케이션의 성능을 증가하기 위해, 소유자는 애플리케이션 설정 파일 안에 운영되는 인스턴스의 수를 증가시킬 수 있습니다.

그런 후에 Windows Azure Fabric이 새로운 VM을 생성한 후, 코어에 할당하고 이 애플리케이션에 더 많은 인스턴스를 구동하도록 합니다. Fabric은 또한 Web Role, Worker Role 인스턴스에 오류가 발생했을 때 새로운 인스턴스를 구동해주는 역할을 합니다.

이것이 의미하는 바는 확장성을 보장하기 위해, Windows Azure의 Web Role 인스턴스는 stateless 여야만 한다는 것이죠. 상태 정보는 Windows Azure Storage에 쓰여지거나, 쿠키를 이용하여 클라이언트로 보내져야만 합니다. Web Role의 statelessness는 또한 Windows Azure의 빌트인 로드 밸런서에 의해 강제화 되어집니다. 왜냐하면, 요청이 특정 웹 Role 인스턴스 에게만 보내지는 것을 허용하지 않기 때문이고, 한 사용자가 사용하는 여러 요청들이 동일 인스턴스로 보내진다는 보장이 없기 때문이죠. Web Role과 Worker Role은 모두 표준 .NET 기술을 사용하여 구현되었지만 현재 있는 .NET Framework 애플리케이션을 Windows Azure로 변경 없이 사용하도록 하는 것은 불가능합니다. 애플리케이션이 스토리지를 접근하는 방식이 다르기 때문이죠. Windows Azure Storage에 대한 접근은 ADO.NET 웹 서비스를 사용하는데, 상대적으로 새로운 기술이고 아직 On-Premise 애플리케이션 사이에서는 사용되고 있지 않습니다. 유사하게, Worker role 인스턴스는 입력을 위해서는 Windows Azure 스토리지의 Queue를 이용합니다. 또 다른 제약사항은 Windows Azure 애플리케이션은 Full Trust 환경에서는 구동되지 않고,  마이크로소프트가 Windows Azure trust라고 부르는 것에 제한되는데, 여러 ASP.NET 호스팅 업체에 의해 허용되는 Medium Trust와 유사하다고 보면 됩니다.

개발자 입장에서, CTP 버전의 Windows Azure 애플리케이션을 개발하는 것은 전통적인 .NET 애플리케이션을 만드는 것과 거의 같습니다. 마이크로소프트는 Windows Azure Web Role, Worker Role, 두 가지를 함께 쓸 수 있는 Visual Studio 2008 프로젝트 템플릿을 제공한다. 개발자는 어떤 .NET 언어든 사용할 수 있습니다 (최초 버전에서는 C# 지원). 또한, Windows Azure 소프트웨어 개발 Kit은 개발자의 데스크탑에서 운영할 수 있는 Windows Azure 환경을 포함하고 있다. (에뮬레이션) 이 Windows Azure-in-a-box는 Windows Azure Storage, Windows Azure agent, 그리고 클라우드 상에서 애플리케이션이 구동하면서 필요한 것은 다 포함되어 있습니다. 개발자는 이 환경에서 애플리케이션 디버깅을 할 수 있고, 테스트가 완료됐을 때 실제 Windows Azure Cloud로 배포할 수 있습니다. 아직도, 몇 가지는 실제 클라우드와 완전히 똑 같지는 않습니다. 참고로 클라우드 기반 애플리케이션에 디버거를 연결하는 것은 불가능하다. 로컬에서 테스트 한 후에 올려야 한다는 거죠. Windows Azure는 개발자를 위한 다른 서비스를 제공하는데, 예를들면 Windows Azure agent를 통해 경고 문자열을 보내고, Windows Azure는 이메일, 인스턴트 메시지 등을 통해 포워드하는 등이 그 예입니다. Windows Azure fabric은 애플리케이션 실패를 감지하고, 결고를 보낼 수 있고 또한, 애플리케이션의 자원 소비량, 프로세서 시간, incoming & outcome 대역폭, 스토리지 등에 대한 상세한 정보를 제공합니다.

Accessing Data

애플리케이션은 데이터와 다양한 방식으로 동작합니다. 어떤 때는 Blob, 또 다른 때는 훨씬 더 구조화된 방식이 필요하기도 하죠. 어떤 애플리케이션이든 데이터를 교환하는 방식이 필요한 것입니다. Windows Azure는 3가지 형태를 지원합니다. Blobs, Tables, Queues

그림2. Windows Azure는 HTTP를 통해 RESTful 스타일로 Blobs, Tables, Queues를 지원한다.

가장 간단한 건, blobs을 사용하는 방식 입니다. 스토리지 계정은 하나 또는 더 많은 개수의 컨테이너를 갖고 있고, 이 컨테이너는 하나 또는 더 많은 개수의 blob을 갖고 있습니다. Blob은 1개당 50기가 바이트 크기까지 가능하고, 각 blob은 블록으로 나뉘어 질 수 있습니다. 만약 오류가 발생하면, 전체 blob을 다시 보내는 것이 아니고 가장 최근의 block을 다시 보내주는 방식입니다. Blobs은 연관된 메타데이터 정보, JPEG 사진을 어디서 찍었고, MP3파일의 작곡가가 누구인지 등에 대한 정보를 가질 수 있다. Blob은 특정한 데이터, 사진, MP3, WMV 파일 등을 위해서는 좋지만, 많은 경우에는 적합하지 않죠. 따라서, Windows Azure는 Tables 을 지원합니다. 엔티티의 계층구조를 저장할 수 있는데, 테이블은 정해진 스키마를 가지고 있지 않고, 프로퍼티를 통해 다양한 유형의 데이터 타입, 문자열, Int, Bool, DateTime 등을 가질 수 있습니다. Windows Azure의 Storage는 SQL을 사용하는 것이 아니고, LINQ Syntax 등의 쿼리 언어를 사용하여 테이블의 데이터를 CRUD 할 수 있습니다. 테이블 한 개는 엄청 커질 수 있고, 수십억개의 엔티티를 저장할 수도 있는데, 이 것은 Windows Azure Storage가 성능을 향상할 수 있도록 여러 서버에 파티션으로 저장하기 때문입니다. Blobs과 Table은 데이터를 저장하는 목적이 있지만, 세 번째 방법은 Queue이고 다른 용도를 가지고 있습니다. 바로 그것은 Web Role 인스턴스가 Worker Role 인스턴스와 통신할 수 있는 방법을 제공합니다.

예를들면, 사용자가 Windows Azure Web Role을 통해 구현된 웹 페이지에서 컴퓨팅을 많이 필요로 하는 작업을 요청할 때 Web Role 인스턴스가 이 요청을 받아서 어떤 작업이 이루어져야 하는지에 대한 메시지를 큐에 넣고 Worker Role 인스턴스가 이 큐에 있는 값을 읽어서 정해진 작업을 수행하고, 다른 큐를 통해 해당 결과 값을 돌려줄 수 있게 됩니다. Blob, table, queue에 관계 없이 Windows Azure storage에 저장된 데이터는 3번 복제 된다. Falut tolerance를 구현하기 위한 것이고, 1곳, 또는 2곳의 오류는 심각한 이슈를 발생하지 않겠죠.

Windows Azure storage는 Windows Azure 애플리케이션, 또는 다른 곳에서 구동되는 애플리케이션을 통해서도 접근 가능합니다. 모든 경우에 Windows Azure 스토리지 유형은 데이터를 노출시키는데 REST 방식을 사용합니다. 모든 것은 URI로 이름이 부여되어 있고, 표준 HTTP 방식으로 처리됩니다. .NET 클라이언트는 ADO.NET 서비스나 LINQ를 사용할 수 있지만, Java 애플리케이션으로 Windows Azure Storage를 접근하려면 표준 REST 방식을 사용할 수 있습니다. 예를들면, blob은 HTTP GET을 이용해, URI를 아래와 같이 부를 수 있습니다.

.blob.core.windows.net//">http://<StorageAccount>.blob.core.windows.net/<Container>/<Blobname>
<Storage Account>는 새로운 Storage Account가 생성될 때 지정되는 식별자이고, 유일하게 이 계정에서 생성된 blob, table, queue를 찾아낼 수 있게 해줍니다. <Container>, <Blobname>은 컨테이너의 이름이고, 이 요청이 접근할 blob의 이름을 의미하죠.

유사하게 특정 table을 부를 때 사용되는 것은 아래와 같습니다.
.table.core.windows.net/?filter=">http://<StorageAccount>.table.core.windows.net/<TableName>?filter=<Query>
<TableName>은 조회될 테이블을 지정하고, <Query>는이 테이블에 실행될 쿼리문을 포함합니다.

Queue 역시 위와 같은 방식으로 사용된다
Http://<StorageAccount>.queue.core.windows.net/<QueueName>

Windows Azure 플랫폼은 Compute와 Storage 자원을 독립적으로 비용을 책정합니다. 이건 어떤 의미냐 하면 On-Premise 애플리케이션은 앞에 언급됐던 RESTful 방식으로 Windows Azure Storage만 사용할 수 있다는 것이죠. 물론 주요 목적은 Azure 애플리케이션의 데이터를 저장하는 것이지만, 다양한 형태로 사용될 수 있다는 것은 분명합니다. 애플리케이션을 사용하는 목적은 On-Premise든, Cloud든 애플리케이션 자체와 데이터를 지원하는 것입니다. Windows Azure 는 이러한 것들에 대한 기본적인 부분을 충실히 지원합니다.

.NET Services

클라우드 기반의 인프라스트럭처, 이 서비스는 On-Premise 또는 클라우드 기반 애플리케이션에 의해 모두 사용될 수 있습니다.

Access Control

Identity는 모든 분산 애플리케이션의 근원적인 부분입니다. 사용자의 Identity 정보를 기반으로 사용자가 어떤 일을 하도록 할 것인지 결정하게 되는데 이 정보를 전송하기 위해 애플리케이션은 SAML(Security Assertion Markup Lanaguage)를 사용하는 토큰을 사용합니다. SAML 토큰은 클레임, 각 사용자에 대한 정보 들을 나눠서 저장하고 전달하는, 값을 갖고 있는데, 하나의 클레임은 이름을 갖고 있고, 또 다른 클레임은 관리자와 같은 Role에 대한 정보를 갖고 있고, 다른 클레임은 이메일 값을 가지고 있을 수 있습니다. 토큰들은 STS(Security Token Service)라고 하는 소프트웨어에 의해 생성되는데, 각각 디지털적으로 그 Source값을 검증하도록 되어 있는 방식이죠.

클라이언트 (브라우저)가 사용자의 토큰을 가지고 있고, 그 토큰 값을 애플리케이션에게 제시할 수 있습니다. 애플리케이션은 이 사용자가 어떤 일을 할 수 있는지 결정하는데 그 토큰의 클레임을 사용하는 방식입니다. 여기에는 몇 가지 문제점을 내포하고 있는데 다음과 같습니다.

1. 토큰이 애플리케이션이 필요로 하는 클레임을 갖고 있지 않다면? 클레임 기반 아이덴티티를 가지고, 모든 애플리케이션은 클레임의 집합을 자유롭게 정의할 수 있지만, 이 토큰을 만들었던 STS가 이 애플리케이션이 요구하는 클레임을 정확히 입력하지 못했을 수 있습니다.
2. 애플리케이션이 STS가 생성한 토큰을 신뢰하지 못한다면? 아무 STS로나 생성된 토큰을 애플리케이션이 신뢰할 수는 없겠죠. 대신 애플리케이션은 신뢰된 STS의 인증서 리스트를 선택하여 접근할 수 있고, 서명이나 토큰을 검증할 수 있을 것입니다. 신뢰된 STS를 통해 발급된 토큰만 받아들이는 형태를 취할 수 있습니다.

프로세스안에 또 다른 STS를 집어 넣음으로써 두 가지 문제를 모두 해결할 수 있다. 토큰이 올바른 클레임을 담고 있는지 확인하기 위해 이 추가적인 STS가 클레임 변환을 시도하는 것입니다. STS는 클레임의 입력 및 출력이 어떻게 연관되어야 하는지에 대한 Rule을 정의할 수 있고, 애플리케이션이 요구하는 정확한 클레임을 포함하고 있는 새로운 토큰을 생성할 수 있는 룰을 사용할 수 있습니다.

두 번째 문제를 해결하기 위해, 일반적으로 애플리케이션이 새로운 STS를 신뢰할 수 있도록 하는 Identity Federation이라는 하는 방식을 사용합니다. 새로운 STS와 STS의 토큰을 요청 받은 측과 신뢰 관계를 형성하는 것입니다. 또 다른 STS를 집어 넣는 데는 클레임 변환과 Identity Federation을 사용할 수 있습니다.

이 STS를 어디에서 구동해야 하나? 조직 내부에서 구동할 수도 있고, 다른 벤더에서 제공하는 서비스를 사용할 수도 있습니다. 이런 경우에는 조직 내부에 있든 외부에 있든 누구나 접근 가능하고, STS를 운영하는 짐을 서비스 제공자가 담당하도록 하는 것입니다.

바로 이 기능이 Access Control의 역할 입니다. 클라우드 상의 STS인 것이죠. 이 STS가 사용되는 방식을 살펴보겠습니다. ISV가 인터넷 접근 가능한 애플리케이션을 개발했는데 이 애플리케이션은 여러 다른 조직의 사용자가 사용하고 있습니다. 각 조직에서는 그 조직의 직원을 위해 SAML 토큰을 제공하지만, 이 토큰들은 해당 애플리케이션이 필요로 하는 정확한 클레임을 포함하고 있지 않은 경우가 많습니다.

그림3: Access Control 서비스는 Rule 기반의 클레임 변환과 Identity Federation을 제공한다

우선, 사용자 애플리케이션 (브라우저, WCF 클라이언트 등)이 사용자의 SAML 토큰을 Access Contril 서비스에 보냅니다 (1), 이 서비스가 해당 토큰의 서명을 검증한 후, STS서비스가 신뢰하는 STS에 의해 생성된 것인지 확인합니다. 해당 서비스가 애플리케이션이 요구하는 클레임을 포함한 새로운 SAML 토큰을 서명한 후 만듭니다 (2). 이러한 작업을 하기 위해 Access Control 서비스의 STS는 사용자가 사용하려는 애플리케이션 소유주가 정의한 룰에 따라 토큰을 만듭니다. 예를 들어, 애플리케이션이 해당 회사의 관리자에게만 접근 권한을 부여한다고 가정해보죠. 각 회사는 사용자가 관리자라고 하는 것을 나타내는 토큰을 클레임에 포함하고 있을 수 있지만, 실제로 표현 방식이 전부 다릅니다. 한 회사는 "Manager", 또는 다른 회사는 "Supervisor"라고 사용하고, 또 다른 회사는 코드를 쓸 수도 있겠죠. 이런 다양한 표현을 처리하기 위해 소유자가 이 세가지 클레임을 공통된 문자열 "Decision Maker"라고 변환하는 Rule을 Access Control에 넣을 수 있을 겁니다. 이 애플리케이션 입장에서는 처리하는 방식이 정말 간단해졌죠. 그렇지 않은가요? ^^

생성된 후에 Access Control 안의 STS가 이 새로운 토큰을 클라이언트에 보냅니다 (3). 그리고 그것을 애플리케이션으로 전송합니다. (4) 애플리케이션이 토큰의 서명을 검증한 후, 그 토큰이 정말로 Access Control Service의 STS에서 만들어졌는지 확인합니다. 서비스의 STS는 각 고객 조직의 STS와 신뢰 관계를 갖고 있어야 하고, 그 애플리케이션은 Access Control Service STS와만 신뢰관계를 가지고 있으면 됩니다. 토큰의 출처만 확인되면, 애플리케이션은 클레임을 통해 이 사용자가 무슨 일을 하게 할지, 말지에 대해 결정할 수 있게 됩니다.

애플리케이션의 특정 Function에 대한 접근을 허용하기 위해, 사용자가 특정 클레임을 제시해야 한다고 생각해보죠. 애플리케이션이 사용자의 토큰을 받았을 때, 이 클레임의 존재 유무에 따라 접근을 허용/거부할 수 있습니다.

Access Control은 모든 통신에 WS-Trust, WS-Federation 같은 표준 프로토콜을 사용합니다. 바로 이것 때문에 어떤 플랫폼을 사용하든, 어떤 애플리케이션이든 관계없이 쓸 수 있게 된 것이죠. Rule을 정의하기 위해 브라우저 기반의 GUI, 프로그래밍을 위한 클라이언트 API를 모두 제공합니다.

클레임 기반의 Identity는 분산 환경을 위한 표준적인 접근 방식입니다. 클라우드에서 STS를 제공함으로 Rule 기반의 클레임 변화을 제공하기 때문에 Access Control은 매력적인 방식 중의 하나라고 생각합니다.

Service Bus

우리 회사 내부에서 구동되는 애플리케이션이 있는데, 인터넷을 통해 다른 회사에서 접근 가능하도록 하고 싶다고 가정해보죠. 당신의 애플리케이션이 웹 서비스로서 구현되었다 (RESTful, SOAP 기반), 이런 경우 이 웹서비스는 외부 세계에서 볼 수 있습니다. 그런데, 실제로 외부세계와 함께 사용하려고 할 때 몇 가지 문제점이 있습니다.

첫째, 다른 조직의 애플리케이션이 당신 서비스에 연결할 Endpoint를 어떻게 찾을 수 있나요? 물론 다른 조직에서 여러분 애플리케이션의 위치를 찾을 수 있는 어떤 레지스트리가 있다면 좋겠지만 말이죠. 일단 찾았다고 하면, 다른 조직의 소프트웨어가 여러분의 애플리케이션에 어떻게 요청을 할 수 있죠? Network Address Translation(NAT)를 사용하고 있고, 애플리케이션이 외부에 노출되기 위한 고정 IP 주소를 가지지 않은 경우에는 어떻게 할까요? 비록 NAT가 사용되지 않더라도, 어떻게 그 요청이 방화벽을 통과하고 들어올 수 있죠? 물론 방화벽에 해당 포트를 개발하면 가능하겠지만, 대부분의 네트웍 관리자는 이런 포트 개방에 대해 부정적입니다. 그렇지 않나요?

그림4: Service Bus는 애플리케이션의 endpoint를 등록하고, 다른 애플리케이션이 찾고 접근할 수 있도록 함

당신의 애플리케이션을 Service Bus를 통해 하나, 또는 여러 개의 end point를 등록합니다(1) Service Bus가 당신 조직에 URI Root를 지정하고, 거기서부터 당신은 어떤 이름을 사용하든 관계없이 좋아하는 계층 구조 형태로 만들 수 있습니다. 이렇게 되면 당신의 endpoint가 특정, 검색 가능한 URI에 지정됩니다. 이때 애플리케이션은 노출시킬 endpoint를 위해 Service Bus와 연결을 개방해야 한다. Service Bus가 이 연결의 열려진 상태로 유지하므로 위에 발생했던 문제가 해결되는 것입니다.

첬째, NAT는 더 이상 이슈가 아닌데, 그 이유는 Service Bus에 개방 된 연결을 통해 트래픽이 항상 당신의 애플리케이션으로 라우팅 됩니다.

둘째, 연결이 방화벽 내부에서 이루어졌기 때문에 애플리케이션 사이에 정보를 보내는 것이 더 이상 문제가 아닙니다. 방화벽이 이 트래픽을 차단하지 않기 때문입니다.

다른 조직에서 당신의 애플리케이션에 대한 접근을 원할 때, 서비스버스 Registry를 찾습니다(2) 이 요청은 Atom Publishing 프로토콜을 사용하는데, 당신 애플리케이션의 endpoint에 대한 참조값을 보내는데 AtomPub 서비스 도큐먼트 값을 되돌려줍니다. 일단, 이 값이 있으면, 이 endpoint를 통해 서비스를 가져올 수 있습니다. (3)

각 요청이 Service Bus를 통해 받아들여지고, 당신의 애플리케이션으로 보내 집니다.
커뮤니케이션을 쉽게 하는 장점 이외에도, Service Bus는 보안을 강화시킬 수 있습니다. 클라이언트가 Service Bus에 의해 제공되는 IP주소밖에 볼 수 없기 때문에, 여러분 조직의 IP 주소를 외부로 노출시킬 필요가 없게 되는 거죠. 여러분의 애플리케이션은 anoynymous로 보여져, 외부 세계는 IP 주소를 볼 수 없게 됩니다. Service Bus가 외부 DMZ의 역할을 하고, 공격자를 혼란스럽게 하는 역할을 하게 됩니다. 마지막으로, Service Bus는 Access Control 서비스와 함께 사용되도록 만들어졌는데, 룰 기반의 클레임 변환을 허용합니다. 사실, Service Bus는 Access Control의 STS 서비스에 의해 발행된 토큰만 받아들이죠.

Service Bus를 통해 서비스를 노출시키려는 애플리케이션은 주로 WCF를 통해 구현되는데, Java 같은 기술로 구현된 클라이언트들은 SOAP, HTTP 등을 통해 요청할 수 있습니다. 애플리케이션과 클라이언트들은 공격자와 Service Bus 자체의 통신을 보호하기 위해 자체 보안 메커니즘, 암호화 등을 이용할 수 있습니다.

애플리케이션을 외부에 노출시키는 것은 생각만큼 간단하지 않은데, Service Bus는 이것을 아주 간단하게 쓸 수 있도록 해주는 역할을 합니다.

Workflow

Windows Workflow Foundation은 워크플로우 기반의 애플리케이션을 만드는 일반적인 기술입니다. 워크플로의 전형적인 시나리오는 길게 수행되는 프로세스를 제어하는 것이고, 종종 엔터프라이즈 애플리케이션 통합에서 이루어지는 일입이다. WF 기반의 애플리케이션은 많은 종류의 업무를 조율하는데 좋은 방법인데 특히, 그 업무가 다른 조직에 위치한 경우 클라우드 상에서 로직을 제어할 수 있도록 하는 것은 좋은 대안이 된다고 생각합니다.

워크플로우 서비스는 이렇게 진행됩니다. WF3.5 기반의 애플리케이션을 호스트하기 위해, 개발자가 클라우드에서 구동되는 워크플로우를 만들 수 있습니다.

그림 5: Workflow Service는 HTTP나 Service Bus를 통해 통신하는 WF 기반의 애플리케이션을 만들 수 있도록 함

워크플로우 서비스를 위한 애플리케이션을 만들기 위해서는 개발자가 Visual Studio의 표준 Workflow 디자이너를 사용할 수 있습니다. 일단 쓰여지면, WF 기반의 애플리케이션은 브라우저 기반의 포탈을 사용하거나 Workflow API를 통해 배포될 수 있죠. 서비스 버스와 마찬가지로 Workflow 서비스와 연동되는 애플리케이션은 Access Control Service로부터 토큰을 받아야만 한다. (Trusted STS) WF 기반의 애플리케이션이 모든 경우에 적합한 대안은 아니지만 적절한 시나리오에 활용하는 것을 고려하는 것은 가능할 것 같습니다.

SQL Services

데이터를 저장하고, 분석하고, 리포트를 만드는 등의 모든 작업을 포괄하는 서비스입니다. 데이터베이스가 제공하는 핵심적인 기능들을 제공하기 위한, 그 첫 번째 시도가 SQL Data Services 입니다.

클라우드 상의 데이터베이스는 많은 경우에 매력적입니다. 많은 기업이 전문적인 서비스 제공자가 안정성, 백업 대행, 기타 관리적인 부분을 대신하는 것에 관심이 있습니다. 클라우드 상의 데이터는 애플리케이션이 모바일 장치를 포함하여 어디서든 다 접근이 가능하다는 것이 매력입니다. 서비스 제공자는 규모의 경제를 통해서 좋고, 비용이 직접 구축하는 것에 비해 훨씬 저렴합니다. 

그림 6: SQL Data Services는 데이터센터에 authorities로 나뉘어 저장되고, authority는 container를 갖고 있으며, container는 Entity를 실제적인 값은 Property에 저장됨

이 데이터를 조회하기 위해 애플리케이션은 몇 개의 옵션을 갖고 있습니다. 하나는 LINQ C# Syntax와 유사한 언어를 사용하여, SOAP,RESTful 응 통해 쿼리를 보내는 방법입니다. 다른 하나는 ADO.NET Data Services를 사용하는 것입니다 (RESTful 방식의 대안). 또 다른 경우에는 애플리케이션이 ==, !=, <,>, AND, OR, NOT 등의 연산자를 container를 대상으로 보내는 것입니다. 쿼리는 ORDER By, Join같은 SQL과 유사한 연산을 포함할 수 있습니다.

쿼리는 프로퍼티가 아닌 entity를 대상으로 조회, 수정 등의 연산을 할 수 있습니다. 쿼리는 엔티티들에 대한 값을 리턴하는데, 포함한 모든 프로퍼티를 포함하여 조회할 수도 있습니다. 엔티티는 미리 지정된 스키마를 갖고 있지 않기 때문에, 프로퍼티는 다양한 데이터 유형을 가질 수 있습니다.SQL Data Services 내부의 데이터는 URI를 가지고 불리워지는데 일반적인 형태는 아래와 같습니다.

http://<Authority>.data.database.windows.net/v1/<Container>/<Entity>

데이터는 REST를 통해 접근될 수 있고 (HTTP), 어떤 플랫폼상의 애플리케이션도 SOAP을 통해 사용 가능합니다. 플랫폼의 종류와 관계없이 애플리케이션은 SQL Data Services에 미리 정의된 사용자이름/패스워드, 또는 Access Control 서비스 STS에 의해 만들어진 Token에 의해 사용자를 인증할 수 있습다.

마이크로소프트는 SQL Data Services를 지금 보다 더 관계형에 가까운 기술로 진화시키고 있다.

David Chappell의 글을 기준으로 작성하였습니다.

제가 마이크로소프트의 클라우드 컴퓨팅, Windows Azure, Azure Services Platform에 대해 공부하다가 작성하였습니다. 참고하시고 이해에 도움이 되시면 좋겠습니다. 이 글은 기본적인 개념을 잡는데 도움이 됩니다. 조금 더 구체적인 내용은 다음 글에 적도록 하겠습니다.

마이크로소프트의 클라우드 컴퓨팅은 크게 2개 영역으로 나뉘어져 있습니다. Windows Azure, 그리고 Azure Services Platform이 바로 그것이지요.

Windows Azure는 클라우드 상에 데이터를 저장하고, 윈도우 애플리케이션이 구동될 수 있는 환경을 제공하는 플랫폼입니다. Windows Azure 는 클라우드 애플리케이션에게 윈도우 기반의 컴퓨팅, 스토리지 서비스를 제공합니다.

Windows Azure
Windows Azure는 마이크로소프트 데이터센터에 위치한 수많은 서버 위에서 운영되는데, 인터넷을 통해 접근 가능합니다. Windows Azure Fabric Knit (잘 짜여진 Fabric)은 강력한 프로세싱 파워를 통합된 하나로 묶어 주는데, Windows Azure의 Compute & Storage서비스는 이 Fabric 위에 구축되었습니다.
Windows Azure Compute Service는 기본적으로 Windows 기반으로 이루어져 있고, 초기 버전 CTP(Community Technology Preview)는 .NET Framework 기반으로 구축된 애플리케이션만 구동되지만, Unmanaged 코드 역시 지원할 계획을 가지고 있습니다. (2009년 중에 발표 예정)

CTP 버전에서는 ASP.NET 애플리케이션과 Windows Communication Foundation (WCF) 서비스 같은 .NET 기반의 소프트웨어를 만들 수 있는데 C#, 기타 다른 .NET 언어를 Visual Studio 2008 같은 개발 도구를 이용할 수 있습니다. 웹 애플리케이션과 별도로 동작하는 백그라운드 프로세스를 지원합니다.

Windows Azure 애플리케이션, On-Premise 애플리케이션 모두 RESTful 접근을 통해 Windows Azure Storage 서비스를 이용할 수 있습니다. Windows Azure의 스토리지는 Microsoft SQL Server 기반이 아닙니다. Windows Azure Storage는 관계형 시스템이 아니고, 쿼리 언어도 SQL이 아닙니다. Storage 서비스는 Windows Azure 위에 구축된 애플리케이션을 위해 디자인됐고, 간단하고 확장 가능한 스토리지를 제공합니다. Blob(Binary Large Object), Windows Azure 애플리케이션 간의 커뮤니케이션을 위한 Queue를 지원하고, 직관적인 쿼리 언어를 사용하는 테이블을 지원합니다.

클라우드 서비스를 위해서는 효과적인 관리가 가능해야 하는데, Windows Azure의 각 애플리케이션은 설정 파일을 가지고 있고 이 파일을 수작업, 또는 프로그램을 통해 수정하면, 애플리케이션 개발자는 사용할 Windows Azure 인스턴스의 개수 변경 등의 정책을 통제할 수 있습니다. 또한, Windows Azure Fabric이 원하는 상태를 유지할 수 있도록 애플리케이션을 모니터링 합니다.

개발자가 개발, 설정, 모니터링 하는 등이 가능하도록 브라우저 기반의 포탈을 제공합니다. 애플리케이션을 구동하기 위한 호스팅 계정을 만들거나, 데이터를 저장하기 위한 스토리지 계정을 만드는 등의 작업이 가능합니다.

1. Start up, 즉 사업을 시작하는 회사가 웹사이트 구축(Facebook), 웹 서비스와 백그라운드 프로세스를 모두 구현 가능하므로 , 애플리케이션은 인터랙티브한 사용자 인터페이스를 제공합니다. (비동기 작업 가능) 인프라에 대한 걱정 없이, 사용자와 투자자에게 가치를 제공할 수 있는 코드 개발에 집중할 수 있습니다.
사용자가 적다면, 비용도 엄청 저렴할 것이고, 사용량이 늘어나면 Windows Azure가 자동 확장해주는데 이때는 매출이 발생할 것이기 때문에 비용을 지불하고도 수익을 낼 수 있는 구조 입니다.

2. 현재 On-premise 방식의 솔루션을 SaaS 버전으로 변경
Windows Azure가 표준 .NET 기반 환경이기 때문에 애플리케이션의 .NET 비즈니스 로직을 클라우드 플랫폼으로 변경하는 것이 그리 어렵지 않습니다. ISV가 비즈니스 로직에만 집중할 수 있습니다. (인프라에 대한 고민 No)

3. Enterprise
Windows Azure가 .NET 기반이기 때문에 기존의 기술이 있다면 개발이 어렵지 않습니다. 기존의 자산투자비용 -> 운영비용으로 개념이 바뀝니다. 크리스마스, 졸업 입학 선물 시즌 등의 사용량 증가를 고민할 필요가 없이, 클라우드 서비스 제공자에게 맡기면 됩니다.

Azure Services Platform

.NET Services

클라우드 상에 애플리케이션을 구동하는 것은 클라우드 컴퓨팅의 중요한 부분이긴 하지만, 그것보다 더 큰 영역이 있습니다. 클라우드 기반의 서비스를  On-Premise 애플리케이션과 Cloud 애플리케이션이 모두 이용할 수 있기 때문입니다. 이 두 영역간의 간격을 좁혀주는 역할을 .NET Services가 제공합니다.

분산 애플리케이션을 개발할 때 공통적으로 발생하는 어려움을 극복하기 위한 것이 .NET Services의 목적입니다.

Access Control: 애플리케이션에게 각 사용자의 정보를 담고 있는 클레임을 토큰 형태로 제공하는 것

즉, 애플리케이션이 이 클레임을 기준으로 어떤 일을 할 수 있는지 결정하도록 하는 것을 의미합니다.
여러 회사간에 이런 일이 가능 하려면 Identity Federation, 즉 한 Identity 영역에서 생성된 클레임이 다른 조직에서 받아들여질 수 있도록 하는 작업이 필요한데 이러한 역할을 Access Control이 담당합니다.

Service Bus: 인터넷 상에 애플리케이션 서비스를 노출시키는 것은 생각보다 쉽지 않습니다. Service Bus의 목표는 웹 서비스의 Endpoint를 노출시켜서 On-Premise, 클라우드 상의 다른 애플리케이션이 쉽게 접근할 수 있도록 하는 것입니다. 각 Endpoint에 대한  위치를 찾고 접근할 수 있도록 하는 것이지요. URI로 지정되어 있습니다. Service Bus는 또한 NAT(Network Address Translation), 노출된 애플리케이션이 새로운 포트를 열지 않고 방화벽을 통과하도록 하는 등의 역할을 제공합니다.

Workflow: 복잡한 애플리케이션을 개발하는 것, 즉 엔터프라이즈 애플리케이션 통합 등은 여러 부분의 상호작용을 조절하는 로직이 필요합니다. 이 로직은 오래 수행되는 프로세스들이 처리될 수 있도록 워크플로우를 사용하여 구현되는데,Windows Workflow Foundation(WF) 기반으로 구축되어 있습니다

몇 가지 예제

- 여러 다른 회사의 고객들이 사용하는 애플리케이션을 제공하는 ISV, Access Control 을 사용하여 애플리케이션
  개발 및 운영 단순화

여러 회사에서 요구하는 다양한 클레임을 해석하는 컴포넌트를 제공함으로, 각 회사들은 독자적인 아이덴티티 기술을 그대로 사용하면서, ISV 애플리케이션은 일관된 형태로 대응하여 개발 가능합니다. 또한, Identity Federation을 사용하지 않고 클라우드 기반의 Access Control 서비스를 사용하여 ISV가 On-premise Federation S/W를 운영할 필요가 없어집니다.

1. 엔터프라이즈가 거래처를 대상으로 애플리케이션 하나에 대한 접근을 허용하고자 할 때 이 애플리케이션의 기능을 SOAP, RESTful 웹서비스를 통해 노출시키고, Endpoint를 Service Bus로 등록합니다. 해당 거래처가 서비스 버스를 통해 Endpoint를 찾을 수 있고, 서비스에 접근하게 되는데, 이런 과정 중에 방화벽상에 포트를 개방 할 필요가 없기 때문에 애플리케이션을 노출시키는 위험성을 줄여줍니다. 해당 조직은 또한 Access Control 서비스를 사용할 수 있을 것이고, 이 Access Control은 Service Bus와 함께 사용할 수 있도록 디자인되었기 때문에 거래처에게 해당 Identity 정보를 보내는 것이 아주 용이해집니다.
   
2. 위의 예제에서 거래처와의 비즈니스 프로세스가 일관되게 이루어져야 하는데, 이럴 때 WF 기반의 애플리케이션인 Workflow 서비스가 이용될 수 있습니다. 서비스 버스를 통해 통신하고, Access Control을 통해 Identity 정보를 교환하고, Workflow로 비즈니스 프로세스를 처리할 수 있게 되는 것이죠.

Windows Azure의 브라우저로 접근 가능한 포탈을 통해 Windows Live ID를 통해 .NET Services를 신청할 수 있습니다. .NET 서비스의 목표는 분명한데, 분산 애플리케이션을 위해 유용한 클라우드 기반의 인프라를 제공하는 것입니다

SQL Services

이 기술을 통해 On-premise, 클라우드 기반 애플리케이션이 마이크로소프트 데이터 센터내의 서버에 데이터를 저장하고, 접근할 수 있습니다. 사용한 만큼만 지불하고, 조직의 필요성의 증감에 따라 증가, 감소할 수 있다는 것을 의미하고, 디스크, DBMS, 운영 등의 자산 투자를 운영비용으로  바꿀 수 있게 되는 거죠. 가장 큰 용도는 여러 장치, 위치에 관계 없이 접근 가능하다는 것이고, 이를 위해 SOAP, RESTful 인터페이스를 통해 노출시켜 다양한 방법으로 접근할 수 있게 됩니다. 데이터가 표준 프로토콜을 통해 노출됨으로 SQL Data Services는 어떤 유형의 시스템으로부터도 사용될 수 있다. (Windows만의 기술이 아님)

Windows Azure Storage 서비스와 달리, SQL Data Services는 Microsoft SQL 서버 기반으로 구축됩니다. 하지만, 전통적인 관계형 인터페이스를 제공하지 않고, 계층적 데이터 모델을 제공합니다. 이 서비스에 저장된 각 아이템은 Name, Type, Value의 프로퍼티로 저장되고, 이 데이터를 쿼리하기 위해 Microsoft Language Integrated Query (LINQ)에 의해 C# Syntax로 정의된 언어이거나, RESTful 접근을 통해 사용할 수 있습니다.

왜 이전의 SQL Server를 다루던 방식을 사용하는 대신, 다른 형태의 SQL Services를 제공할까요? 새로운 방식이 데이터를 조직화하고, 검색하여 replication, 로드밸런싱을 제공하는 것을 더 쉽고 빠르게 하기 때문입니다.

예제

1. 애플리케이션이 오래된 데이터를 SQL Data Services로 아카이브 할 수 있습니다. 빈번히 업데이트되는 RSS 피드를 생각해보면, 30일 이상 된 자료의 경우 거의 사용되지 않지만, 여전히 사용 가능해야 하는데 이러한 데이터를 SQL Data Services에 저장하면 저렴한 가격으로, 안정적인 서비스가 가능합니다.
2. 딜러와 소비자에게 프로덕트 정보를 제공하려고 하는 제조업자가 있다고 가정하면, 이 데이터를 SQL Data Services에 넣는다면 딜러와 고객 웹사이트에서 모두 접근 가능하도록 할 수 있을 겁니다. 데이터가 RESTFul , SOAP 인터페이스로 접근 가능하므로, 어떤 플랫폼에서 구동되든, 어떤 기술을 사용하는 애플리케이션이든 관계없이 해당 서비스를 쓸 수 있게 되는거죠. SQL Data Services는 쓰기가 정말 쉽습니다. 웹 포탈에 가서, 필요한 정보를 입력하면 되는데, 데이터를 아카이빙 하는 것이든, 여러 위치에서 접근 가능한 애플리케이션을 만드는 것이든, 클라우드 데이터베이스는 매력적임에 분명합니다.

David Chappell이 쓴 백서를 기준으로 작성했습니다.

클라우드 컴퓨팅은 인프라스트럭처 클라우드, 플랫폼 클라우드, 애플리케이션 클라우드로 나뉘어져 있습니다.
클라우드 컴퓨팅 이야기를 하면 뜬구름이다, 실체가 없다는 이야기를 하는 분들을 보곤 합니다. 개념적인 이야기, 먼 훗날의 이야기로 느껴지기 때문인데, 사실은 눈에 보이지 않고, 손으로 만져볼 수 없기 때문에 갖는 막연한 느낌때문에 그렇게 생각하시는 것 같습니다.

좀 더 구체적으로 이해하시려면 한 번 사용해 보시면 되지 않을까요?
마이크로소프트의 클라우드 컴퓨팅 중 인프라스트럭처 클라우드인 윈도우 애저, 스토리지(사진, 동영상, 기타 파일을 저장할 수 있는 서비스), 컴퓨팅(CPU, 메모리 등의 연산), 관리(클라우드 환경에서 내가 사용하고 있는 리소스 양에 대한 정보, 해당 파일을 업로드 하는 등의 포탈) 역할을 제공합니다.

이 윈도우 애저를 직접 한 번 사용해보시면 좀 더 구체적으로 이해가 되지 않을까요?

1. 사용하시려면 일단 Windows Live ID가 필요합니다.
    - https://signup.live.com (MSN 메신저 등을 쓰고 계시다면 이미 갖고 계시죠?)

2. ID가 있다면 www.azure.com 사이트를 찾아가 보세요.
 

메뉴에 보시면 Sign-In이라고 보이시죠? 클릭하세요

3. 해당 화면에서 Windows Azure를 클릭하세요
    - Azure Services Developer Portal이 나타납니다.
      메뉴에서 Help를 클릭하세요.
      . Developer Community
         . Reach Out
            . Windows Azure Connect Site를 클릭합니다.
              입력 양식에 맞춰 정보를 넣으시면, 향후에 해당 Windows Live ID로 토큰(Token)이 발송됩니다.
     그 토큰을 이용하여 Windows Azure 서비스를 이용하시면 됩니다.
     (현재는 CTP 버전이기 때문에 완전 무료 입니다.)

4. Windows Azure를 가지고 뭘 테스트할 건지 막막하시죠?
    - https://www.microsoft.com/azure/windowsazure.mspx
    - https://www.microsoft.com/azure/trainingkit.mspx (Training Kit 제공)

위 사이트에 가시면 비디오, Training Kit이 제공됩니다. 한 번씩 써보시면 개념이 이해가 되실 거고 손에 잡힐 거라고 생각합니다. Azure Services Platform 영역도 이와 유사한 형태로 사용 가능합니다.