아키텍트2010. 5. 28. 14:19

클라우드가 현실화 되면서 꼭 고려해야 할 요인이 바로 관리 입니다.

설명을 위해 간단한 그림을 그려봤어요. 애플리케이션을 배포하는 모델은 On-Premise, Hosting, Cloud 3가지가 있습니다. 이중 On-Premise, Hosting 모델에서는 전통적인 물리적인 서버를 사용할 수도 있고, 가상 서버를 사용할 수도 있을 겁니다. 이때 물리적인 서버를 위한 관리도구와 가상 서버 관리도구가 별도로 존재해야 한다면? 이중 투자에 복잡도가 증가할 겁니다. 여기까지는 동의하실 것이고 외부 클라우드 사업자의 클라우드 서비스를 사용할 경우는 어떻게 될까요? 이 클라우드 환경에 대해서도 당연히 관리가 되어야 하지 않을까요? 관리 되어야 합니다.

그렇다면 클라우드 관리도구가 별도로 필요한 것에 대해서는 어떻게 생각하세요? 역시 또 다른 관리 포인트가 생기게 되는 것이라 바람직하지 않습니다. On-premise/Hosting 환경에서 이용하는 물리적 서버, 가상서버, 클라우드 서버가 하나의 관리도구의 Console로 관리되면 가장 좋겠죠? 마이크로소프트의 System Center가 바로 이러한 환경을 제공하는 거죠. 물리적 서버, 가상 서버 이외에 마이크로소프트의 Windows Azure 내의 클라우드 인스턴스도 하나의 콘솔에서 관리가 가능하다는 특징을 가지고 있습니다.

또 하나의 장점은 물리적인 서버, 가상 서버 자체 이외에도 애플리케이션에 대해서도 관리가 가능하다는 것이죠.
Windows Azure용 Management Pack이 2010년 하반기에 출시될 예정이라서 결국에는 클라우드를 포함하는 전체 IT 인프라의 직관적인 전략에 가장 부합한다고 생각합니다.

Posted by 조이트리
아키텍트2009. 7. 1. 10:32
2009년 7월 8일(수), 인터콘티넨탈호텔 하모니 볼룸에서 "The Clouds 2009 컨퍼런스" & Cloud Computing Forum이 진행됩니다. 제가 한국클라우드서비스협회에 참여하고 있는데, 이번 행사도 역시 준비위원으로 참여를 하고 있습니다.

이번에는 "클라우드 컴퓨팅 서비스 사례" 트랙에서 발표를 하게 됩니다.
"마이크로소프트 사례를 통해 살펴보는 클라우드 컴퓨팅의 전략적 의미와 활용방안"이 제목이 될 것 같습니다. 

Public Cloud(공용 클라우드) 사례인 마이크로소프트의 클라우드 컴퓨팅 Windows Azure, Azure Services Platform에 대한 소개 및 Demo, Private Cloud(사설 클라우드) 사례인 마이크로소프트 인프라 클라우드 솔루션 (Dynamic Data Center Toolkit)에 대한 Demo 및 소개 위주로 진행할 계획 입니다.

또한, 각 글로벌 벤더의 사업전략 및 기술전략에 대한 부분도 포함할 예정 입니다.

기회가 되시는 분들은 행사장에서 뵈면 좋겠네요.
발표 끝나고 꼭 개별적으로 인사해주세요 ~ 온라인으로 보다가 오프라인으로 만나면 좋잖아요. 그렇죠?
Posted by 조이트리
아키텍트2009. 4. 7. 17:44

클라우드 컴퓨팅은 클라우드 사업자가 모든 인프라, 플랫폼을 제공하는 공용 클라우드와 기업이 자체 클라우드 환경을 구축하는 사설 클라우드의 두 가지 유형이 존재합니다.

그 중에서 사설 클라우드는 데이터센터를 자체 운영하는 엔터프라이즈 및 IDC들이 구축할 것으로 예상된다고 말씀드렸는데요, 마이크로소프트 서버 및 툴 총책임자인 President Bog Muglia께서 사설 클라우드 구축에 관해 아래와 같이 밝혔습니다.


"We will move more and more into managing pools of resources," Muglia said. Traditional data centers, and even most virtualized data centers, require administrators to manage servers as discrete entities and to move applications manually. Private clouds will take a much more flexible, scalable, automated approach and draw computing power from pools of resources, rather than discrete servers, and will adopt many of the best practices of public cloud vendors.

요약해보면 이렇습니다. 전통적인 데이터센터, 가상화를 적용한 데이터센터의 경우 관리자가 각 서버 자원들을 직접 관리하면서 그 위에 구동되는 애플리케이션을 수동으로 배포하고 있는데, 사설 클라우드 환경을 적용한 경우 개별 서버에 대한 관리가 아닌 모든 자원들을 Pool 개념으로 묶어서 훨씬 더 유연하고, 확장 가능하며 자동화된 접근 방식을 사용할 수 있다는 거죠.

IT 운영관점의 변화라고 볼 수 있을 것 같은데요 지금까지는 서버 워크로드를 어디에, 어떻게 배치하여 구동할 것인가에 집중하고 있었다면 앞으로는 이러한 일들을 컴퓨터가 대행하게 될 거라는 겁니다. 예를들면, 현재 버전의 가상 머신 관리자(VMM)은 가상서버를 어디에 배치할 것인지를 배치 마법사(Placement Wizard)가 추천하면 관리자가 적용하는 방식으로 이루어지지만, 향후 버전에서는 마법사가 없어지고 프로세스가 자동화될 것으로 보여집니다. 데이터센터 관리자가 자원 풀에 물리적 서버를 추가해놓으면 관리 소프트웨어가 이러한 자원을 가장 최적화하여 사용하는 개념입니다.

시스템 센터는 윈도우, 리눅스 서버등 이기종 환경을 관리할 수 있어야 겠죠. 물론, 현재 시스템 센터도 크로스 플랫폼 확장 add-on을 통해 리눅스 환경을 관리할 수 있습니다.
물론 Windows Server 2008 R2, 새로운 시스템센터 만으로 사설 클라우드를 바로 현실로 만들기는 어렵다고 설명했는데, 그 이유는 애플리케이션이 확장, 병렬 프로세싱을 사용하도록 설계되지 않으면 원하는 형태로 구축이 안될 거라는 거죠. 마이크로소프트 역시 병렬 프로그래밍 패러다임, Oslo 모델링 플랫폼, .Net 프레임웍 등을 통해 애플리케이션이 여러 서버를 가로지르면 구동 가능하도록 개발할 수 있도록 하는데 많은 노력을 기울이고 있습니다.

언제 사설 클라우드 구축이 가능한 Windows  Server R2, System Center가 준비될 것인지에 대해서는 아직 정확한 일정은 없지만, 가까운 미래에 사설 클라우드 구축 역시 하나의 주요한 움직임이 될 것이라고 생각됩니다.

Posted by 조이트리
아키텍트2009. 2. 25. 17:42

앞에 썼던 글을 조금 더 깊이 있게 살펴 보는 글입니다.

Windows Azure

Windows Azure는 두 가지 중요한 일을 합니다. 애플리케이션을 구동하고, 데이터를 저장하는 거죠. 


그림 1: 최초 CTP 버전에서 Windows Azure 애플리케이션은 Web role, Worker role 인스턴스로 이루어지고, 각 인스턴스는 자신의 VM (가상머신) 위에서 구동됨

애플리케이션 구동

애플리케이션은 여러 개의 인스턴스를 가지고 있는데, 인스턴스는 전체 복사본 또는 애플리케이션의 일부를 포함하고 있습니다. 각 인스턴스는 자신만의 가상머신(VM) 위에서 구동되는데, 이 가상머신들은 64비트 Windows Server 2008 환경이고, 클라우드에서 사용되도록 디자인된 Hypervisor에 의해 제공됩니다. 그렇지만, Windows Azure 애플리케이션은 실제로 그 가상머신을 볼 수 없게 설계되어 있습니다. 개발자가 가진 VM 이미지를 Windows Azure에서 구동하는 것은 지원되지 않습니다. 그대신 , CTP 버전은 개발자가 Web Role 인스턴스, Worker Role 인스턴스를 통해 .NET 3.5 기반의 애플리케이션을 만들 수 있도록 되어 있습니다. 이름에서 알 수 있듯이, Web Role 인스턴스는 IIS7을 경유하여 HTTP (HTTPs) 요청을 받아 들이는데, Web Role은 IIS와 함께 동작하는 ASP.NET, WCF, .NET Framwork 기술을 통해 구현할 수 있습니다. Windows Azure는 동일한 애플리케이션의 일부분인 전체 Web Role 인스턴스 간에 요청을 분산할 수 있도록 빌트인 로드밸런싱을 제공합니다.

반면에, Worker Role 인스턴스는 외부로부터 요청을 직접 받아들 일 수 없게 되어 있습니다. 어떤 유형의 네트웍 커넥션도 허용되지 않고, IIS가 VM 안에서 구동되지도 않습니다. 그대신, Web Role 인스턴스에서 입력이 들어와서, Windows Azure Storage에 Queue 형태로 저장됩니다. 작업의 결과 값이 Windows Azure Storage에 저장되거나 외부로 보내지고, 외부로 나가는 연결을 허용하는 거죠. Incoming HTTP 요청을 처리하고, 요청이 처리된 후 shutdown 하는 Web Role과 다르게 Worker Role 인스턴스는 배치 작업처럼 무한정 길게 구동될 수 있습니다. 이런 특징에 맞게 Worker Role은 main() method를 가진 어떤 .NET Technoloy로도 구현될 수 있습니다. (Windows Azure Trust가 보장된다는 조건하에)

Web Role 인스턴스, Worker Role 인스턴스에 관계 없이 각 VM은 Windows Azure Fabric과 상호 교류할 수 있도록 해주는 Windows Azure Agent를 포함하고 있습니다. 이 Agent는 인스턴스가 Windows Azure 관리 로그를 쓸 수 있는 Windows Azure에서 정의된 API를 제공하며, 소유자에게 Windows Azure fabric을 경유하여 경고를 보내주기도 합니다. 시간이 지나면 바뀔 수도 있겠지만, Windows Azure의 초기 릴리즈 버전은 VM과 물리적 프로세서 코어 간 1:1 관계를 유지하게 되어 있고 이 원칙 때문에 각 애플리케이션의 성능이 보장됩니다. 각 Web Role, Worker Role 인스턴스는 자신에게 할당된 프로세서 코어가 있는 것입니다. 애플리케이션의 성능을 증가하기 위해, 소유자는 애플리케이션 설정 파일 안에 운영되는 인스턴스의 수를 증가시킬 수 있습니다.

그런 후에 Windows Azure Fabric이 새로운 VM을 생성한 후, 코어에 할당하고 이 애플리케이션에 더 많은 인스턴스를 구동하도록 합니다. Fabric은 또한 Web Role, Worker Role 인스턴스에 오류가 발생했을 때 새로운 인스턴스를 구동해주는 역할을 합니다.

이것이 의미하는 바는 확장성을 보장하기 위해, Windows Azure의 Web Role 인스턴스는 stateless 여야만 한다는 것이죠. 상태 정보는 Windows Azure Storage에 쓰여지거나, 쿠키를 이용하여 클라이언트로 보내져야만 합니다. Web Role의 statelessness는 또한 Windows Azure의 빌트인 로드 밸런서에 의해 강제화 되어집니다. 왜냐하면, 요청이 특정 웹 Role 인스턴스 에게만 보내지는 것을 허용하지 않기 때문이고, 한 사용자가 사용하는 여러 요청들이 동일 인스턴스로 보내진다는 보장이 없기 때문이죠. Web Role과 Worker Role은 모두 표준 .NET 기술을 사용하여 구현되었지만 현재 있는 .NET Framework 애플리케이션을 Windows Azure로 변경 없이 사용하도록 하는 것은 불가능합니다. 애플리케이션이 스토리지를 접근하는 방식이 다르기 때문이죠. Windows Azure Storage에 대한 접근은 ADO.NET 웹 서비스를 사용하는데, 상대적으로 새로운 기술이고 아직 On-Premise 애플리케이션 사이에서는 사용되고 있지 않습니다. 유사하게, Worker role 인스턴스는 입력을 위해서는 Windows Azure 스토리지의 Queue를 이용합니다. 또 다른 제약사항은 Windows Azure 애플리케이션은 Full Trust 환경에서는 구동되지 않고,  마이크로소프트가 Windows Azure trust라고 부르는 것에 제한되는데, 여러 ASP.NET 호스팅 업체에 의해 허용되는 Medium Trust와 유사하다고 보면 됩니다.

개발자 입장에서, CTP 버전의 Windows Azure 애플리케이션을 개발하는 것은 전통적인 .NET 애플리케이션을 만드는 것과 거의 같습니다. 마이크로소프트는 Windows Azure Web Role, Worker Role, 두 가지를 함께 쓸 수 있는 Visual Studio 2008 프로젝트 템플릿을 제공한다. 개발자는 어떤 .NET 언어든 사용할 수 있습니다 (최초 버전에서는 C# 지원). 또한, Windows Azure 소프트웨어 개발 Kit은 개발자의 데스크탑에서 운영할 수 있는 Windows Azure 환경을 포함하고 있다. (에뮬레이션) 이 Windows Azure-in-a-box는 Windows Azure Storage, Windows Azure agent, 그리고 클라우드 상에서 애플리케이션이 구동하면서 필요한 것은 다 포함되어 있습니다. 개발자는 이 환경에서 애플리케이션 디버깅을 할 수 있고, 테스트가 완료됐을 때 실제 Windows Azure Cloud로 배포할 수 있습니다. 아직도, 몇 가지는 실제 클라우드와 완전히 똑 같지는 않습니다. 참고로 클라우드 기반 애플리케이션에 디버거를 연결하는 것은 불가능하다. 로컬에서 테스트 한 후에 올려야 한다는 거죠. Windows Azure는 개발자를 위한 다른 서비스를 제공하는데, 예를들면 Windows Azure agent를 통해 경고 문자열을 보내고, Windows Azure는 이메일, 인스턴트 메시지 등을 통해 포워드하는 등이 그 예입니다. Windows Azure fabric은 애플리케이션 실패를 감지하고, 결고를 보낼 수 있고 또한, 애플리케이션의 자원 소비량, 프로세서 시간, incoming & outcome 대역폭, 스토리지 등에 대한 상세한 정보를 제공합니다.

Accessing Data

애플리케이션은 데이터와 다양한 방식으로 동작합니다. 어떤 때는 Blob, 또 다른 때는 훨씬 더 구조화된 방식이 필요하기도 하죠. 어떤 애플리케이션이든 데이터를 교환하는 방식이 필요한 것입니다. Windows Azure는 3가지 형태를 지원합니다. Blobs, Tables, Queues

 

그림2. Windows Azure는 HTTP를 통해 RESTful 스타일로 Blobs, Tables, Queues를 지원한다.

가장 간단한 건, blobs을 사용하는 방식 입니다. 스토리지 계정은 하나 또는 더 많은 개수의 컨테이너를 갖고 있고, 이 컨테이너는 하나 또는 더 많은 개수의 blob을 갖고 있습니다. Blob은 1개당 50기가 바이트 크기까지 가능하고, 각 blob은 블록으로 나뉘어 질 수 있습니다. 만약 오류가 발생하면, 전체 blob을 다시 보내는 것이 아니고 가장 최근의 block을 다시 보내주는 방식입니다. Blobs은 연관된 메타데이터 정보, JPEG 사진을 어디서 찍었고, MP3파일의 작곡가가 누구인지 등에 대한 정보를 가질 수 있다. Blob은 특정한 데이터, 사진, MP3, WMV 파일 등을 위해서는 좋지만, 많은 경우에는 적합하지 않죠. 따라서, Windows Azure는 Tables 을 지원합니다. 엔티티의 계층구조를 저장할 수 있는데, 테이블은 정해진 스키마를 가지고 있지 않고, 프로퍼티를 통해 다양한 유형의 데이터 타입, 문자열, Int, Bool, DateTime 등을 가질 수 있습니다. Windows Azure의 Storage는 SQL을 사용하는 것이 아니고, LINQ Syntax 등의 쿼리 언어를 사용하여 테이블의 데이터를 CRUD 할 수 있습니다. 테이블 한 개는 엄청 커질 수 있고, 수십억개의 엔티티를 저장할 수도 있는데, 이 것은 Windows Azure Storage가 성능을 향상할 수 있도록 여러 서버에 파티션으로 저장하기 때문입니다. Blobs과 Table은 데이터를 저장하는 목적이 있지만, 세 번째 방법은 Queue이고 다른 용도를 가지고 있습니다. 바로 그것은 Web Role 인스턴스가 Worker Role 인스턴스와 통신할 수 있는 방법을 제공합니다.

예를들면, 사용자가 Windows Azure Web Role을 통해 구현된 웹 페이지에서 컴퓨팅을 많이 필요로 하는 작업을 요청할 때 Web Role 인스턴스가 이 요청을 받아서 어떤 작업이 이루어져야 하는지에 대한 메시지를 큐에 넣고 Worker Role 인스턴스가 이 큐에 있는 값을 읽어서 정해진 작업을 수행하고, 다른 큐를 통해 해당 결과 값을 돌려줄 수 있게 됩니다. Blob, table, queue에 관계 없이 Windows Azure storage에 저장된 데이터는 3번 복제 된다. Falut tolerance를 구현하기 위한 것이고, 1곳, 또는 2곳의 오류는 심각한 이슈를 발생하지 않겠죠.

Windows Azure storage는 Windows Azure 애플리케이션, 또는 다른 곳에서 구동되는 애플리케이션을 통해서도 접근 가능합니다. 모든 경우에 Windows Azure 스토리지 유형은 데이터를 노출시키는데 REST 방식을 사용합니다. 모든 것은 URI로 이름이 부여되어 있고, 표준 HTTP 방식으로 처리됩니다. .NET 클라이언트는 ADO.NET 서비스나 LINQ를 사용할 수 있지만, Java 애플리케이션으로 Windows Azure Storage를 접근하려면 표준 REST 방식을 사용할 수 있습니다. 예를들면, blob은 HTTP GET을 이용해, URI를 아래와 같이 부를 수 있습니다.

.blob.core.windows.net//">http://<StorageAccount>.blob.core.windows.net/<Container>/<Blobname>
<Storage Account>는 새로운 Storage Account가 생성될 때 지정되는 식별자이고, 유일하게 이 계정에서 생성된 blob, table, queue를 찾아낼 수 있게 해줍니다. <Container>, <Blobname>은 컨테이너의 이름이고, 이 요청이 접근할 blob의 이름을 의미하죠.

유사하게 특정 table을 부를 때 사용되는 것은 아래와 같습니다.
.table.core.windows.net/?filter=">http://<StorageAccount>.table.core.windows.net/<TableName>?filter=<Query>
<TableName>은 조회될 테이블을 지정하고, <Query>는이 테이블에 실행될 쿼리문을 포함합니다.

Queue 역시 위와 같은 방식으로 사용된다
Http://<StorageAccount>.queue.core.windows.net/<QueueName>

Windows Azure 플랫폼은 Compute와 Storage 자원을 독립적으로 비용을 책정합니다. 이건 어떤 의미냐 하면 On-Premise 애플리케이션은 앞에 언급됐던 RESTful 방식으로 Windows Azure Storage만 사용할 수 있다는 것이죠. 물론 주요 목적은 Azure 애플리케이션의 데이터를 저장하는 것이지만, 다양한 형태로 사용될 수 있다는 것은 분명합니다. 애플리케이션을 사용하는 목적은 On-Premise든, Cloud든 애플리케이션 자체와 데이터를 지원하는 것입니다. Windows Azure 는 이러한 것들에 대한 기본적인 부분을 충실히 지원합니다.

.NET Services

클라우드 기반의 인프라스트럭처, 이 서비스는 On-Premise 또는 클라우드 기반 애플리케이션에 의해 모두 사용될 수 있습니다.

Access Control

Identity는 모든 분산 애플리케이션의 근원적인 부분입니다. 사용자의 Identity 정보를 기반으로 사용자가 어떤 일을 하도록 할 것인지 결정하게 되는데 이 정보를 전송하기 위해 애플리케이션은 SAML(Security Assertion Markup Lanaguage)를 사용하는 토큰을 사용합니다. SAML 토큰은 클레임, 각 사용자에 대한 정보 들을 나눠서 저장하고 전달하는, 값을 갖고 있는데, 하나의 클레임은 이름을 갖고 있고, 또 다른 클레임은 관리자와 같은 Role에 대한 정보를 갖고 있고, 다른 클레임은 이메일 값을 가지고 있을 수 있습니다. 토큰들은 STS(Security Token Service)라고 하는 소프트웨어에 의해 생성되는데, 각각 디지털적으로 그 Source값을 검증하도록 되어 있는 방식이죠.

클라이언트 (브라우저)가 사용자의 토큰을 가지고 있고, 그 토큰 값을 애플리케이션에게 제시할 수 있습니다. 애플리케이션은 이 사용자가 어떤 일을 할 수 있는지 결정하는데 그 토큰의 클레임을 사용하는 방식입니다. 여기에는 몇 가지 문제점을 내포하고 있는데 다음과 같습니다.

  1. 토큰이 애플리케이션이 필요로 하는 클레임을 갖고 있지 않다면? 클레임 기반 아이덴티티를 가지고, 모든 애플리케이션은 클레임의 집합을 자유롭게 정의할 수 있지만, 이 토큰을 만들었던 STS가 이 애플리케이션이 요구하는 클레임을 정확히 입력하지 못했을 수 있습니다.
  2. 애플리케이션이 STS가 생성한 토큰을 신뢰하지 못한다면? 아무 STS로나 생성된 토큰을 애플리케이션이 신뢰할 수는 없겠죠. 대신 애플리케이션은 신뢰된 STS의 인증서 리스트를 선택하여 접근할 수 있고, 서명이나 토큰을 검증할 수 있을 것입니다. 신뢰된 STS를 통해 발급된 토큰만 받아들이는 형태를 취할 수 있습니다.

프로세스안에 또 다른 STS를 집어 넣음으로써 두 가지 문제를 모두 해결할 수 있다. 토큰이 올바른 클레임을 담고 있는지 확인하기 위해 이 추가적인 STS가 클레임 변환을 시도하는 것입니다. STS는 클레임의 입력 및 출력이 어떻게 연관되어야 하는지에 대한 Rule을 정의할 수 있고, 애플리케이션이 요구하는 정확한 클레임을 포함하고 있는 새로운 토큰을 생성할 수 있는 룰을 사용할 수 있습니다.

두 번째 문제를 해결하기 위해, 일반적으로 애플리케이션이 새로운 STS를 신뢰할 수 있도록 하는 Identity Federation이라는 하는 방식을 사용합니다. 새로운 STS와 STS의 토큰을 요청 받은 측과 신뢰 관계를 형성하는 것입니다. 또 다른 STS를 집어 넣는 데는 클레임 변환과 Identity Federation을 사용할 수 있습니다.

이 STS를 어디에서 구동해야 하나? 조직 내부에서 구동할 수도 있고, 다른 벤더에서 제공하는 서비스를 사용할 수도 있습니다. 이런 경우에는 조직 내부에 있든 외부에 있든 누구나 접근 가능하고, STS를 운영하는 짐을 서비스 제공자가 담당하도록 하는 것입니다.

바로 이 기능이 Access Control의 역할 입니다. 클라우드 상의 STS인 것이죠. 이 STS가 사용되는 방식을 살펴보겠습니다. ISV가 인터넷 접근 가능한 애플리케이션을 개발했는데 이 애플리케이션은 여러 다른 조직의 사용자가 사용하고 있습니다. 각 조직에서는 그 조직의 직원을 위해 SAML 토큰을 제공하지만, 이 토큰들은 해당 애플리케이션이 필요로 하는 정확한 클레임을 포함하고 있지 않은 경우가 많습니다.

 

 

그림3: Access Control 서비스는 Rule 기반의 클레임 변환과 Identity Federation을 제공한다

우선, 사용자 애플리케이션 (브라우저, WCF 클라이언트 등)이 사용자의 SAML 토큰을 Access Contril 서비스에 보냅니다 (1), 이 서비스가 해당 토큰의 서명을 검증한 후, STS서비스가 신뢰하는 STS에 의해 생성된 것인지 확인합니다. 해당 서비스가 애플리케이션이 요구하는 클레임을 포함한 새로운 SAML 토큰을 서명한 후 만듭니다 (2). 이러한 작업을 하기 위해 Access Control 서비스의 STS는 사용자가 사용하려는 애플리케이션 소유주가 정의한 룰에 따라 토큰을 만듭니다. 예를 들어, 애플리케이션이 해당 회사의 관리자에게만 접근 권한을 부여한다고 가정해보죠. 각 회사는 사용자가 관리자라고 하는 것을 나타내는 토큰을 클레임에 포함하고 있을 수 있지만, 실제로 표현 방식이 전부 다릅니다. 한 회사는 "Manager", 또는 다른 회사는 "Supervisor"라고 사용하고, 또 다른 회사는 코드를 쓸 수도 있겠죠. 이런 다양한 표현을 처리하기 위해 소유자가 이 세가지 클레임을 공통된 문자열 "Decision Maker"라고 변환하는 Rule을 Access Control에 넣을 수 있을 겁니다. 이 애플리케이션 입장에서는 처리하는 방식이 정말 간단해졌죠. 그렇지 않은가요? ^^

생성된 후에 Access Control 안의 STS가 이 새로운 토큰을 클라이언트에 보냅니다 (3). 그리고 그것을 애플리케이션으로 전송합니다. (4) 애플리케이션이 토큰의 서명을 검증한 후, 그 토큰이 정말로 Access Control Service의 STS에서 만들어졌는지 확인합니다. 서비스의 STS는 각 고객 조직의 STS와 신뢰 관계를 갖고 있어야 하고, 그 애플리케이션은 Access Control Service STS와만 신뢰관계를 가지고 있으면 됩니다. 토큰의 출처만 확인되면, 애플리케이션은 클레임을 통해 이 사용자가 무슨 일을 하게 할지, 말지에 대해 결정할 수 있게 됩니다.

애플리케이션의 특정 Function에 대한 접근을 허용하기 위해, 사용자가 특정 클레임을 제시해야 한다고 생각해보죠. 애플리케이션이 사용자의 토큰을 받았을 때, 이 클레임의 존재 유무에 따라 접근을 허용/거부할 수 있습니다.

Access Control은 모든 통신에 WS-Trust, WS-Federation 같은 표준 프로토콜을 사용합니다. 바로 이것 때문에 어떤 플랫폼을 사용하든, 어떤 애플리케이션이든 관계없이 쓸 수 있게 된 것이죠. Rule을 정의하기 위해 브라우저 기반의 GUI, 프로그래밍을 위한 클라이언트 API를 모두 제공합니다.

클레임 기반의 Identity는 분산 환경을 위한 표준적인 접근 방식입니다. 클라우드에서 STS를 제공함으로 Rule 기반의 클레임 변화을 제공하기 때문에 Access Control은 매력적인 방식 중의 하나라고 생각합니다.

Service Bus

우리 회사 내부에서 구동되는 애플리케이션이 있는데, 인터넷을 통해 다른 회사에서 접근 가능하도록 하고 싶다고 가정해보죠. 당신의 애플리케이션이 웹 서비스로서 구현되었다 (RESTful, SOAP 기반), 이런 경우 이 웹서비스는 외부 세계에서 볼 수 있습니다. 그런데, 실제로 외부세계와 함께 사용하려고 할 때 몇 가지 문제점이 있습니다.

첫째, 다른 조직의 애플리케이션이 당신 서비스에 연결할 Endpoint를 어떻게 찾을 수 있나요? 물론 다른 조직에서 여러분 애플리케이션의 위치를 찾을 수 있는 어떤 레지스트리가 있다면 좋겠지만 말이죠. 일단 찾았다고 하면, 다른 조직의 소프트웨어가 여러분의 애플리케이션에 어떻게 요청을 할 수 있죠? Network Address Translation(NAT)를 사용하고 있고, 애플리케이션이 외부에 노출되기 위한 고정 IP 주소를 가지지 않은 경우에는 어떻게 할까요? 비록 NAT가 사용되지 않더라도, 어떻게 그 요청이 방화벽을 통과하고 들어올 수 있죠? 물론 방화벽에 해당 포트를 개발하면 가능하겠지만, 대부분의 네트웍 관리자는 이런 포트 개방에 대해 부정적입니다. 그렇지 않나요?

 

그림4: Service Bus는 애플리케이션의 endpoint를 등록하고, 다른 애플리케이션이 찾고 접근할 수 있도록 함

당신의 애플리케이션을 Service Bus를 통해 하나, 또는 여러 개의 end point를 등록합니다(1) Service Bus가 당신 조직에 URI Root를 지정하고, 거기서부터 당신은 어떤 이름을 사용하든 관계없이 좋아하는 계층 구조 형태로 만들 수 있습니다. 이렇게 되면 당신의 endpoint가 특정, 검색 가능한 URI에 지정됩니다. 이때 애플리케이션은 노출시킬 endpoint를 위해 Service Bus와 연결을 개방해야 한다. Service Bus가 이 연결의 열려진 상태로 유지하므로 위에 발생했던 문제가 해결되는 것입니다.

첬째, NAT는 더 이상 이슈가 아닌데, 그 이유는 Service Bus에 개방 된 연결을 통해 트래픽이 항상 당신의 애플리케이션으로 라우팅 됩니다.

둘째, 연결이 방화벽 내부에서 이루어졌기 때문에 애플리케이션 사이에 정보를 보내는 것이 더 이상 문제가 아닙니다. 방화벽이 이 트래픽을 차단하지 않기 때문입니다.

다른 조직에서 당신의 애플리케이션에 대한 접근을 원할 때, 서비스버스 Registry를 찾습니다(2) 이 요청은 Atom Publishing 프로토콜을 사용하는데, 당신 애플리케이션의 endpoint에 대한 참조값을 보내는데 AtomPub 서비스 도큐먼트 값을 되돌려줍니다. 일단, 이 값이 있으면, 이 endpoint를 통해 서비스를 가져올 수 있습니다. (3)

각 요청이 Service Bus를 통해 받아들여지고, 당신의 애플리케이션으로 보내 집니다.
커뮤니케이션을 쉽게 하는 장점 이외에도, Service Bus는 보안을 강화시킬 수 있습니다. 클라이언트가 Service Bus에 의해 제공되는 IP주소밖에 볼 수 없기 때문에, 여러분 조직의 IP 주소를 외부로 노출시킬 필요가 없게 되는 거죠. 여러분의 애플리케이션은 anoynymous로 보여져, 외부 세계는 IP 주소를 볼 수 없게 됩니다. Service Bus가 외부 DMZ의 역할을 하고, 공격자를 혼란스럽게 하는 역할을 하게 됩니다. 마지막으로, Service Bus는 Access Control 서비스와 함께 사용되도록 만들어졌는데, 룰 기반의 클레임 변환을 허용합니다. 사실, Service Bus는 Access Control의 STS 서비스에 의해 발행된 토큰만 받아들이죠.

Service Bus를 통해 서비스를 노출시키려는 애플리케이션은 주로 WCF를 통해 구현되는데, Java 같은 기술로 구현된 클라이언트들은 SOAP, HTTP 등을 통해 요청할 수 있습니다. 애플리케이션과 클라이언트들은 공격자와 Service Bus 자체의 통신을 보호하기 위해 자체 보안 메커니즘, 암호화 등을 이용할 수 있습니다.

애플리케이션을 외부에 노출시키는 것은 생각만큼 간단하지 않은데, Service Bus는 이것을 아주 간단하게 쓸 수 있도록 해주는 역할을 합니다.

Workflow

Windows Workflow Foundation은 워크플로우 기반의 애플리케이션을 만드는 일반적인 기술입니다. 워크플로의 전형적인 시나리오는 길게 수행되는 프로세스를 제어하는 것이고, 종종 엔터프라이즈 애플리케이션 통합에서 이루어지는 일입이다. WF 기반의 애플리케이션은 많은 종류의 업무를 조율하는데 좋은 방법인데 특히, 그 업무가 다른 조직에 위치한 경우 클라우드 상에서 로직을 제어할 수 있도록 하는 것은 좋은 대안이 된다고 생각합니다.

워크플로우 서비스는 이렇게 진행됩니다. WF3.5 기반의 애플리케이션을 호스트하기 위해, 개발자가 클라우드에서 구동되는 워크플로우를 만들 수 있습니다.

그림 5: Workflow Service는 HTTP나 Service Bus를 통해 통신하는 WF 기반의 애플리케이션을 만들 수 있도록 함

모든 WF 워크플로우는 몇 가지 activitity를 사용하여 구현되는데 각 activity는 메시지를 보내거나 받는 등의 일부터, If 조건문을 구현하거나, While Loop 등의 만드는 등의 작업을 수행합니다. WF는 Base Activity Library(BAL)이라고 불리는 activity의 표준 집합을 제공하는데, Workflow 서비스는 애플리케이션이 BAL의 부분집합을 사용하도록 할 수 있고 자체적인 activity도 제공할 수 있는데, 예를 들면, HTTP를 사용하는 다른 소프트웨어와 통신하거나, 서비스 버스를 사용하는 서비스와 통신할 수 있습니다. 애플리케이션 통합에서 요구되는 XML 메시지와의 연동 등도 가능합니다. 클라우드 상에서 운영됨으로 WF 순차적인 워크플로우 모델만 사용 가능하다는 한계가 있고 임의적으로 작성한 코드는 쓸 수 없습니다.

워크플로우 서비스를 위한 애플리케이션을 만들기 위해서는 개발자가 Visual Studio의 표준 Workflow 디자이너를 사용할 수 있습니다. 일단 쓰여지면, WF 기반의 애플리케이션은 브라우저 기반의 포탈을 사용하거나 Workflow API를 통해 배포될 수 있죠. 서비스 버스와 마찬가지로 Workflow 서비스와 연동되는 애플리케이션은 Access Control Service로부터 토큰을 받아야만 한다. (Trusted STS) WF 기반의 애플리케이션이 모든 경우에 적합한 대안은 아니지만 적절한 시나리오에 활용하는 것을 고려하는 것은 가능할 것 같습니다.

SQL Services

데이터를 저장하고, 분석하고, 리포트를 만드는 등의 모든 작업을 포괄하는 서비스입니다. 데이터베이스가 제공하는 핵심적인 기능들을 제공하기 위한, 그 첫 번째 시도가 SQL Data Services 입니다.

클라우드 상의 데이터베이스는 많은 경우에 매력적입니다. 많은 기업이 전문적인 서비스 제공자가 안정성, 백업 대행, 기타 관리적인 부분을 대신하는 것에 관심이 있습니다. 클라우드 상의 데이터는 애플리케이션이 모바일 장치를 포함하여 어디서든 다 접근이 가능하다는 것이 매력입니다. 서비스 제공자는 규모의 경제를 통해서 좋고, 비용이 직접 구축하는 것에 비해 훨씬 저렴합니다. 


그림 6: SQL Data Services는 데이터센터에 authorities로 나뉘어 저장되고, authority는 container를 갖고 있으며, container는 Entity를 실제적인 값은 Property에 저장됨

 하지만, 인터넷 같이 불특정 상황의 확장성이 요구되는 공간에 안정적이고, 고성능 데이터베이스를 제공하는 것은 쉬운 일이 아닙니다. Tradeoff이 요구되는 것이죠. SQL Database는 표준 관계형 데이터베이스를 제공하는 것이 아니고, SQL 쿼리를 지원하지도 않습니다. 데이터가 구조적인 형태로 조직화 되어 있습니다.
SQL Data Services는 여러 데이터센터에 나뉘어서 정보를 저장합니다. 각 데이터 센터는 일정양의 Authorities를 갖고 있는데, Authority는 geo-location의 Unit이고, 유일한 DNS 이름을 갖습니다. Authority는 Containers를 보유하고, 그 각각을 여러 데이터센터에 복제해 놓습니다. Containers는 로드 밸런싱과 가용성을 목적으로 사용됩니다. 만약, 오류가 생기면 SQL Data Services는 자동으로 Container의 복제본을 사용하도록 변경 됩니다. 모든 쿼리는 특정 container를 대상으로 이루어지고, authority를 넘어서는 쿼리는 허용되지 않습니다. 각 container는 몇 개의 entity를 갖고 있고, 이 entity는 property 정보를 갖습니다. 이 property가 name, 데이터타입, 그리고 그 데이터타입의 값을 갖게 됩니다. SQL Data Services는 String, DataTime, Base64Binary, Boolean, Decimal 등의 데이터 타입을 지원하고,애플리케이션은 MIME Type을 가지고 Blobs을 저장할 수 있습니다.

이 데이터를 조회하기 위해 애플리케이션은 몇 개의 옵션을 갖고 있습니다. 하나는 LINQ C# Syntax와 유사한 언어를 사용하여, SOAP,RESTful 응 통해 쿼리를 보내는 방법입니다. 다른 하나는 ADO.NET Data Services를 사용하는 것입니다 (RESTful 방식의 대안). 또 다른 경우에는 애플리케이션이 ==, !=, <,>, AND, OR, NOT 등의 연산자를 container를 대상으로 보내는 것입니다. 쿼리는 ORDER By, Join같은 SQL과 유사한 연산을 포함할 수 있습니다.

쿼리는 프로퍼티가 아닌 entity를 대상으로 조회, 수정 등의 연산을 할 수 있습니다. 쿼리는 엔티티들에 대한 값을 리턴하는데, 포함한 모든 프로퍼티를 포함하여 조회할 수도 있습니다. 엔티티는 미리 지정된 스키마를 갖고 있지 않기 때문에, 프로퍼티는 다양한 데이터 유형을 가질 수 있습니다.SQL Data Services 내부의 데이터는 URI를 가지고 불리워지는데 일반적인 형태는 아래와 같습니다.

http://<Authority>.data.database.windows.net/v1/<Container>/<Entity>

데이터는 REST를 통해 접근될 수 있고 (HTTP), 어떤 플랫폼상의 애플리케이션도 SOAP을 통해 사용 가능합니다. 플랫폼의 종류와 관계없이 애플리케이션은 SQL Data Services에 미리 정의된 사용자이름/패스워드, 또는 Access Control 서비스 STS에 의해 만들어진 Token에 의해 사용자를 인증할 수 있습다.

마이크로소프트는 SQL Data Services를 지금 보다 더 관계형에 가까운 기술로 진화시키고 있다.

David Chappell의 글을 기준으로 작성하였습니다.

Posted by 조이트리
아키텍트2009. 2. 12. 15:32

2009년 1월 22일, 소프트웨어산업협회 주관으로 “2009년 SaaS 전망” 이라는 주제로 발표를 했다고 했잖아요.
그때 한국은행 관계자 분이 참석하셨다가, 제게 한국은행에 와서 “SaaS의 이해”라는 주제로 심층적인 강의를 부탁하셨습니다. 그 강의를 오늘 (2009년 2월 12일)에 진행하고 돌아왔습니다. ^^

역삼동에 위치한 한국은행은 지나다니면 많이 보긴 했지만, 저도 들어가본 건 오늘 처음이네요.

1. SaaS의 정의, 개념
     - ASP 구분되는 점
2. 글로벌 Vendor들의 SaaS 전략
3. 국내외 적용 사례
4. 클라우드 컴퓨팅과 SaaS의 관계
5. SaaS의 전망
6. Q&A

위의 내용으로 진행했습니다. 감사합니다.

Posted by 조이트리
아키텍트2009. 1. 9. 11:13
Azure Services Platform 단계별로 정식 서비스 입니다. 정확한 시기, 어떤 서비스가 먼저 시작 것인지는 아직 논의 중이죠. 하지만, 개발자들이 지금 바로 개발을 시작할 있기 때문에 아이디어를 구체화 하는 충분한 시간이 있다고 생각합니다. 그리고이미 많은 사람들이 Azure 서비스 플랫폼 위에서 다양한 시도를 하고 있고 , 현재까지 진행되고 있습니다.

Azure Service를 사용하려면
1. http://www.microsoft.com/azure/register.mspx 방문
2. Register for Services 를 클릭하셔서 기본적이 정보 몇 개 입력하시면 Waiting list에 올라갑니다.
    나중에 메일로 Token을 받으시고, 그 Token을 이용하여 신청한 서비스를 이용하시면 됩니다.
    . Windows Azure (Computing, Storage, Management)
    . .NET Services (Access Control, Service Bus, Workflow)
    . Live Services
    . SQL Services
    각 서비스를 따로 따로 신청하셔야 합니다. 예를들어, 사진 및 동영상 공유 사이트를 만들어 보시려면
    Windows Azure를 신청하시고, DB를 서비스로 쓰시려면 SQL Services를 또 신청하셔야 한다는 것이죠.


 

초기 단계에서는 전세계를 대상으로 서비스가 필요한 인터넷을 이용한 애플리케이션을 유용하게 개발할 있을 것 있습니다. 또한, 다른 조직 파트너쉽으로 일하는 경우 유용하게 활용할 있습니다. 공급자 체인 관리(SCM) 같은 애플리케이션, 비즈니스 to 비즈니스, 전자 문서 교환(EDI) 등의 애플리케이션은 여러 조직과의 네트웍 연결이 필요하인증을 처리해야 합니다.

 

그런데, 현재의 기술은 방화벽이 있는 경우 데이터를 교환하는데 제한이 있고, VPN 비밀번호 관리  해줘야 하고네트웍 연결 동안 예측하지 못한 오류들을 해결해야 하는데, Azure 이와 같은 일을 아주 단순화 있도록 방화벽을 통과하는 서비스 버스 여러 조직간의 인터넷 연결을 수월하게 하고, 구성원 간의 인증을 도와주는 역할을 해줍니다기본적이지만 반드시 필요한 내용들이며 이런 시나리오에서는 반드시 필요로 하는 중요한 사항이라고 할 수 있죠.


즉,
처음에는 이런 조직간의 전자 문서, 메시지 교환 등에서 Azure 사용되는 것을 보겠지만, 결국에는 원하는 일들은 대부분 처리해줄 수 있는 Azure 진화하는 것을 보게 될 것 입니다. 고성능 컴퓨팅 등의 영역은 기업, 대학, 연구소  기관 들에서 활용하게 될 것이라고 생각합니다.

Posted by 조이트리