что такое ажур майкрософт
Что такое Microsoft Azure и как ее можно использовать
Е сли Вы следили за новостями Microsoft, есть большая вероятность, что Вы слышали о Microsoft Azure, ранее известном как Windows Azure. Этот сервис облачных вычислений является большой частью бизнеса Microsoft, и он конкурирует с аналогичными сервисами от Amazon и Google.
Понятие облачных вычислений
Microsoft Azure — это сервис облачных вычислений, который работает аналогично Amazon Web Services (AWS) и облачной платформе Google.
Под «облачными вычислениями» мы не подразумеваем туманный термин, который часто применяется к потребительским сервисам, которые хранят Ваши данные на удаленном сервере. Мы имеем в виду фактические вычисления как услугу для компаний, организаций и даже частных лиц, которые хотят этим воспользоваться.
Традиционно предприятия и другие организации размещают свою собственную инфраструктуру. У бизнеса будет собственный веб-сервер (или почтовый сервер, или что-то еще) на своем собственном оборудовании. Если бы потребовалось больше мощности, бизнесу пришлось бы покупать больше серверного оборудования. Компании также придется платить кому-то за администрирование этого оборудования и платить за надежное подключение к Интернету для обслуживания своих клиентов. Кроме того, есть хостинговые компании, которые размещают Ваши сервисы на некоторых из своих аппаратных средств в своих центрах обработки данных, за деньги.
Облачные вычисления работают немного по-другому. Вместо того, чтобы запускать собственное оборудование или платить за использование определенного оборудования в чужом центре обработки данных, Вы просто платите за доступ к огромному пулу вычислительных ресурсов, предоставляемых Microsoft (или Amazon, или Google). Это позволяет Вам размещать веб-серверы, серверы электронной почты, базы данных, серверы хранения файлов, виртуальные машины, пользовательские каталоги или все, что Вам может понадобиться. Когда Вам нужно больше вычислительных ресурсов, Вам не нужно приобретать физическое оборудование. «Облако» разделяет аппаратное обеспечение и автоматически назначает работу по мере необходимости. Вы платите за столько вычислительных ресурсов, сколько Вам нужно, а не за определенное количество аппаратных серверов в стойке.
Службы, которые Вы развертываете таким образом, могут быть либо общедоступными серверами, доступными для всех, либо частью «частного облака», которое используется только в организации.
В чем смысл
При использовании облачных вычислений значительно снижаются первоначальные затраты. Вам не нужно вкладывать кучу денег в создание собственного центра обработки данных, приобретать оборудование для него и оплачивать услуги персонала. Нет риска переплачивать за слишком много оборудования или покупать слишком мало и не иметь того, что Вам нужно.
Вместо этого Вы размещаете все необходимое для размещения «в облаке», предоставляемом такой службой, как Microsoft Azure. Вы платите только за те вычислительные ресурсы, которые используете. Если Вам нужно больше, он может мгновенно масштабироваться для удовлетворения спроса. Если Вам нужно меньше, Вы не платите больше, чем нужно.
По этой причине все, от внутренней почтовой системы компании до общедоступных веб-сайтов и сервисов для мобильных приложений, все чаще размещается на облачных платформах.
Что может сделать Microsoft Azure
Веб-сайт Microsoft Azure предоставляет каталог сотен различных сервисов, которые Вы можете использовать, включая полноценные виртуальные машины, базы данных, хранилище файлов, резервные копии и сервисы для мобильных и веб-приложений.
Первоначально эта служба называлась «Windows Azure», но была переименована в «Microsoft Azure», поскольку она может делать гораздо больше, чем просто Windows. Например, Вы можете запускать виртуальные машины Windows или Linux в Azure — в зависимости от того, что Вы предпочитаете.
Копаясь в этих сотнях сервисов, Вы увидите, что можете делать практически все, что угодно. И для всего, что Azure не предлагает в простом обслуживании, Вы можете настроить виртуальную машину Windows или Linux, на которой размещено любое программное обеспечение, которое Вы хотите использовать. Вы даже можете разместить на виртуальной машине рабочий стол Windows или Linux в облаке и подключаться к нему удаленно. Это просто еще один способ использовать удаленные вычислительные ресурсы.
Многое из того, что делает Azure, не является эксклюзивным для Azure. Amazon, Microsoft и Google конкурируют. Например, Amazon Web Services является лидером в этой области, опережая предложения Microsoft и Google.
Azure Active Directory и Windows 10
Microsoft также использует Azure для расширения Windows несколькими важными способами. Традиционно организациям, которые хотели иметь центральный пользовательский каталог и управление своими ПК, требовалось запустить собственный сервер Microsoft Active Directory. Теперь, в дополнение к традиционному программному обеспечению Active Directory, которое может быть установлено на сервере Windows, организация может использовать Azure Active Directory.
Azure AD — то же самое, но размещено в Microsoft Azure. Это позволяет организациям иметь все эти функции централизованного администрирования, не требуя от них размещения собственного сервера Active Directory (и настройки зачастую сложной инфраструктуры и разрешений доступа, необходимых для его удаленной работы).
Эти сервисы не идентичны, но Microsoft однозначно делает ставку на то, что Azure AD — это будущее. Пользователи Windows 10 могут присоединиться к Azure Active Directory через функцию «Рабочий доступ», а служба Microsoft Office 365 использует Azure Active Directory для проверки подлинности пользователей.
Как каждый может использовать Azure
Любой может использовать Microsoft Azure. Просто зайдите на веб-сайт Azure, и Вы сможете зарегистрировать новую учетную запись. Каждая учетная запись имеет кредит в размере 12 500 рублей, который Вы можете использовать в течение первых 30 дней, чтобы Вы могли начать и посмотреть, как работает Azure. Вы также получаете определенное количество бесплатных услуг в течение первого года, включая доступ к виртуальным машинам Linux, виртуальным машинам Windows, хранилищу файлов, базам данных и пропускной способности.
Подробное описание возможностей разработки с Microsoft Azure Cloud Services
Поговорим сегодня об одном из фундаментальных сервисов платформы Microsoft Azure — Cloud Services.
Основная идея Cloud Services состоит в реализации многоуровневого решения с помощью одной или нескольких веб-ролей и рабочих-ролей (web-роль, worker-роль) для распределенной обработки запросов или данных.
Итак, вводное определение: Cloud services (Облачные службы) Microsoft Azure – это возможность создавать многокомпонентные приложения, несколько переосмысленные в сторону ролевой модели и гибкого масштабирования.
Например, при увеличении нагрузки можно масштабировать только обработчик на стороне сервера, но оставить количество экземпляров веб-фронтенда.
Примечание:
Общие моменты и основные различия между Cloud Services и Web Sites, каким образом реализует ту или иную функцию или сценарий каждая из служб можно посмотреть в статье Сравнение веб-сайтов Azure, облачных служб и виртуальных машин на русском и на английском языке.
Архитектура Cloud Services и роли
Доступ к приложению осуществляется по конечной точке доступа (HTTP либо HTTPS).
Для получения данных от представления (Web-роли) обработчиком-контроллером (Worker-ролью) традиционно используется Middleware в виде сервиса очередей.
При этом в качестве Middleware может выступать например Microsoft Azure Storage Queue или Microsoft Azure Service Bus.
Использование Middleware является прекрасным примером разработки отказоустойчивых распределенных приложений.
Вместо разработки тесно связанной системы, для которой потеря одного из компонентов (например, Web-роли) будет означать неработоспособность всей системы и потерю данных разработчик может использовать Middleware в режиме брокера (Brokered Messaging).
Это значит, что Web-роль просто кладет сообщения в сервис Middleware (в очередь), где они сохраняются до тех пор, пока ими не займется сборщик мусора, либо пока они не обработаются экземплярами Worker-роли.
В то же время Web-роль не имеет понятия о том, сколько обработчиков занимаются приходящими с нее сообщениями, сущетсвуют ли эти обработчики, оффлайн они или онлайн, и не знает о статусе обработки этих сообщений (если это специально не предусмотрено).
Очевидно, что связность системы значительно снижается, ведь теперь выход из строя части системы не приведет к сбою системы в целом.
Как видно на рисунке архитектуры Cloud Services, каждая из ролей существует в некотором количестве экземпляров, выполняющих одну и ту же функцию роли.
Это означает, что, перейдя по ссылке на Web-сайт, пользователь может попасть как на первый экземпляр Web-роли, так и на любой другой, находящийся в ротации балансировщика нагрузки.
Ниже подробно описаны типы ролей и их основные характеристики:
Для обеспечения непрерывной работы службы при выполнении действий по обновлению, а так же для соответствия требованиям уровня обслуживания необходимо определить хотя бы по два экземпляра каждой роли.
Конфигурация Cloud Service
Для описание конфигурации, под Cloud Services будем понимать проект, т.е. набор файлов, который описывает облачный сервис. Этот проект можно использовать в Visual Studio.
Итак, конфигурация состоит из двух XML-файлов:
Сервис Microsoft Azure, получивший данную настройку производит поиск конкретного образа операционной системы определенного разработчиком семейства. Стандартное значение этой настройки «*», обозначающее, что сервис будет запущен на самой новой версии операционной системы и будет обновляться по мере выхода новых версий.
Оба конфигурационных файла при развертывании решения Cloud Service в Microsoft Azure обрабатываются специальным автоматическим сервисом Azure Fabric, который, основываясь на этих файлах, производит поиск свободных ресурсов, удовлетворяющих конфигурации, инициирует создание и установку виртуальных машин и дальнейшее развертывание решения.
Поэтому правильная настройка конфигурационных файлов имеет большое значение при развертывании в облако.
Окружения
Каждый экземпляр Сloud Services предоставляет разработчику два расположения для развернутого решения — Production и Staging, которые используются для варианта, работающего в реальной среде, и решения, развернутого для тестирования, соответственно.
В процессе развертывания разработчик производит настройку того расположения, в котором будет развернуто его решение.
Эти расположения, называются ячейками развертывания и отличаются только доменным именем и внутренними правилами маршрутизации.
Для Production-ячейки настраивается DNS-имя, указанное разработчиком при создании Cloud Service, например, http://appname.cloudapp.net, для Staging же создается временное DNS-имя следующего типа http://[guid].cloudapp.net.
После успешного тестирования решения в Staging, разработчику не нужно разворачивать решение в Production, достаточно на портале управления инициировать процедуру VIP Swap, которая свою очередь отправит запрос балансировщику нагрузки для того чтобы «поменять местами» VirtualIP, используемый для развертывания.
Таким образом, без каких либо переносов и миграций, за несколько минут решение из Staging-ячейки переходит в Production.
При выявлении ошибок в ячейке Production, процедура VIP Swap может быть инициирована повторно для продолжения тестирования решения в Staging-ячейке, которая кстати говоря не доступна конечному пользователю.
Масштабирование Cloud Service
Для Microsoft Azure Cloud Services существует возможность автоматического масштабирования на основе загрузки CPU или текущего количества сообщений в очереди хранилища Microsoft Azure.
Разработчик может отслеживать прогноз масштабирования в панели администрирования, который сообщит о необходимости выполнить масштабирование для облачного сервиса.
Чтобы настроить автоматическое масштабирование облачного сервиса, необходимо указать период ожидания (в минутах) перед каждым изменением масштаба.
Масштабирование на основе количества сообщений в очереди в очереди удобно использовать в том случае, если количество сообщений в очереди превышает определенное пороговое значение или опускается ниже его, экземпляры роли создаются или удаляются или виртуальные машины включаются в группу доступности или исключаются из нее.
Разработчик самостоятельно задает число сообщений в очереди, при котором Azure будет автоматически масштабировать сервис.
Часто при масштабировании роли выгодно масштабировать также и базу данных, используемую приложением. Если база данных связана с облачной службой, можно изменить версию и размер базы данных SQL на портале управления.
Движок авто масштабирования использует пятиминутные интервалы, и каждый интервал проверяет нагрузку на центральный процессор за последний час. Следовательно движок может инициировать процесс авто масштабирования каждые пять минут.
Но так же можно и запланировать автоматическое масштабирование приложения, настроив расписания для различных периодов.
Также возможна установка дополнительного программного обеспечения, которое называется WASABi, для осуществления автомасштабирования без участия портала управления Azure, с помощью REST API.
Azure Tools for Microsoft Visual Studio
Пакет инструментов Azure для Visual Studio полезен разработчикам для создания, управления, запуска и развертывания Web-приложений в Azure.
Пакет содержит в себе шаблоны проектов (Web-роли, Worker-роли и т.д.), возможности удаленной отладки и создания виртуальных машин, Emulator Express, расширения интерфейса Visual Studio, расширения Storage Explorer и Server Explorer, интегрированное развертывание с помощью Web Deploy в облако, IntelliTrace и многое другое.
Последний выпуск Azure Tools поддерживается следующими версиями Visual Studio:
Microsoft Azure SDK
Основные компоненты Azure SDK — эмулятор вычислений и хранилища, необходимый для запуска, отладки и тестирования Cloud Services на локальном компьютере, что очень удобно в условиях отсутствия подключения к Интернету.
Эмулятор вычислений предоставляет графический интерфейс для выполнения базовых задач по управлению и просмотру диагностических логов рабочего решения Cloud Service.
Ниже перечислены некоторые различия между решением, запущенным в эмуляторе, и запущенным в облаке, что означает необходимость тестирования некоторых частей решения именно в облаке:
Эмулятор хранилища обеспечивает локальную среду, для моделирования трех сервисов хранилища Azure на локальном компьютере – блобов, таблиц и очередей. Основным механизмом локального эмулятора хранилища является SQL Server.
В настоящий момент графический инструмент эмулятора считается устаревшим и в будущем будет исключен из SDK. Доступ к функциям эмулятора теперь обеспечивает командная строка.
Антивирус для Cloud Services
Не так давно компания Microsoft представила антивирус для облачных сервисов Azure, обеспечивающий защиту в реальном времени или по расписанию, а так же предоставляющий сбор информации об атаках вашей учетной записи через Azure Diagnostics.
Антивирус в Azure построен на той же платформе, что и Microsoft Security Essentials [MSE], Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune, и Windows Defender для Windows, 8.0 и выше. И предназначен для работы в фоновом режиме.
Разработчик может настроить антивирус, основываясь на потребностях своего решения, выбрать работу защиты в режиме реального времени или сканирование по расписанию, запустить обновление средств защиты или сбор информации о вредоносных происшествиях.
Антивирус устанавливается по умолчанию на каждом экземпляре Cloud Services.
Вы можете включить службу защиты, используя базовую конфигурацию или настроить ее по собственному желанию. Настройки службы защиты по умолчанию уже оптимизированы для работы в среде Microsoft Azure. Но вы можете так же настроить их в соответствии со спецификой именно вашего решения.
Ниже представлена общая схема обеспечения работы инструмента антивируса Microsoft Azure для облачных сервисов и виртуальных машин:
Что такое Azure Active Directory
Azure Active Directory (Azure AD) — это облачная служба управления удостоверениями и доступом от корпорации Майкрософт. Она помогает вашим сотрудникам входить в систему и обращаться к ресурсам таких категорий:
внешние ресурсы, такие как Microsoft 365, портал Azure и тысячи других приложений SaaS;
во внутренних ресурсах, таких как приложения в корпоративной сети и интрасети, а также в любых облачных приложениях, разработанных вашей организацией. Дополнительные сведения о создании клиента для организации см. в разделе Краткое руководство. Создание клиента в Azure Active Directory.
Сведения о различиях между Azure AD и доменными службами Active Directory см. в разделе Сравнение Active Directory с Azure Active Directory. Лучше понять базовые службы идентификации в Azure, Azure AD и Microsoft 365 можно с помощью различных постеров о Microsoft Cloud для корпоративных архитекторов.
Кто использует Azure AD
Azure AD могут использовать:
ИТ-администраторы. С помощью Azure AD ИТ-администратор может управлять доступом к приложениям и их ресурсам в соответствии с бизнес-требованиями. Например, вы можете использовать Azure AD, чтобы требовать прохождение многофакторной проверки подлинности при доступе к ресурсам организации. Кроме того, с помощью Azure AD можно автоматизировать подготовку пользователей между существующим экземпляром Windows Server AD и облачными приложениями, включая Microsoft 365. Наконец, Azure AD предоставляет эффективные инструменты для автоматической защиты учетных данных и удостоверений пользователей и соответствия требованиям системы управления. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium.
Разработчики приложений. Разработчики приложений могут использовать Azure AD как соответствующее стандартам средство для включения единого входа в приложении, обеспечивая возможность работы с существующими учетными данными пользователя. Azure AD также предоставляет интерфейсы API, с помощью которых можно разработать персонализированные интерфейсы приложений, используя существующие данные организации. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков).
Подписчики Microsoft 365, Office 365, Azure или Dynamics CRM Online. Как подписчик вы уже используете Azure AD. Каждый клиент Microsoft 365, Office 365, Azure и Dynamics CRM Online автоматически также является клиентом Azure AD. Кроме того, вы можете сразу начать управлять доступом к интегрированным облачным приложениям.
Что такое лицензии Azure AD?
В бизнес-службах Microsoft Online, например Microsoft 365 или Microsoft Azure, для входа в систему и защиты идентификации используется Azure AD. Если вы подписаны на любую из бизнес-служб Microsoft Online, то вы автоматически получите Azure AD с доступом ко всем бесплатным возможностям.
Чтобы улучшить реализацию Azure AD, можно также добавить платные возможности или воспользоваться обновлением до лицензий Azure Active Directory Premium P1 или Premium P2. Платные лицензии Azure Active Directory создаются на основе существующего бесплатного каталога, предоставляя самообслуживание, улучшенный мониторинг, отчеты о безопасности и безопасный доступ для мобильных пользователей.
Сведения о ценах для различных лицензий см. на странице цен на Azure Active Directory.
В настоящий момент выпуски Azure Active Directory Premium P1 и Azure Active Directory Premium P2 не поддерживаются в Китае. Дополнительные сведения о ценах на Azure AD можно узнать на форуме по Azure Active Directory.
Azure Active Directory Free. Предоставляет управление пользователями и группами, синхронизацию локальной службы каталогов, базовые отчеты, возможность самостоятельного изменения паролей для пользователей облака, единый вход в Azure, Microsoft 365 и многие другие популярные приложения SaaS.
Azure Active Directory Premium P1. В дополнение к возможностям в рамках предложения уровня «Бесплатный», P1 обеспечивает пользователям гибридный доступ к локальным и облачным ресурсам. Он также поддерживает расширенные функции администрирования, такие как динамические группы, самостоятельное управление группами, Microsoft Identity Manager (средство для управления локальными удостоверениями и управления доступом) и возможности обратной записи в облаке, которые позволяют самостоятельно сбрасывать пароль для локальных пользователей.
Azure Active Directory Premium P2. В дополнение к возможностям в рамках предложений уровня «Бесплатный» и P1, P2 также обеспечивает Защиту идентификации Azure Active Directory, которая предоставляет условный доступ к приложениям и критически важным данным компании на основе рисков, и привилегированное управление идентификацией, позволяющее выявлять, ограничивать и отслеживать администраторов и их доступ к ресурсам, а также предоставить JIT-доступ, когда это необходимо.
Лицензии на использование функций с оплатой по мере использования. Вы также можете получить лицензии на дополнительные функции, такие как Azure Active Directory B2C. B2C помогает предоставлять решения для управления идентификацией и доступом для клиентских приложений. Дополнительные сведения см. в статье об Azure Active Directory B2C.
Дополнительные сведения о связывании подписки Azure с Azure AD см. в статье Привязка или добавление подписки Azure в Azure Active Directory, а сведения о присвоении лицензий пользователям — в статье Практическое руководство по назначению или удалению лицензий Azure Active Directory.
Какие функции поддерживает Azure AD?
После выбора лицензии Azure AD вы получите доступ ко всем (или некоторым) следующим функциям для своей организации.
| Категория | Описание |
|---|---|
| Управление приложениями | Управление облачными и локальными приложениями с помощью Application Proxy, единого входа, портала «Мои приложения» (также называемого панелью доступа) и приложений SaaS. Дополнительные сведения см. в статье об обеспечении безопасного удаленного доступа к локальным приложениям и документации по управлению приложениями. |
| Аутентификация | Администрирование самостоятельного сброса пароля, многофакторной проверки подлинности, настраиваемого списка запрещенных паролей и смарт-блокировки в Azure Active Directory. Чтобы узнать больше, ознакомьтесь с документацией по аутентификации Azure AD. |
| Azure Active Directory для разработчиков | Создание приложений, которые разрешают вход со всеми удостоверениями Майкрософт, получение маркеров для вызова Microsoft Graph, других API Майкрософт или настраиваемых API. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков). |
| Категория «бизнес — бизнес» (B2B) | Управление гостевыми пользователями и внешними партнерами и сохранение контроля над корпоративными данными. Дополнительные сведения см. в документации по Azure Active Directory B2B. |
| Категория «бизнес — потребитель» (B2C) | Настройка и контроль регистрации и входа пользователей, а также управление их профилями, когда они используют ваши приложения. Дополнительные сведения см. в статье об Azure Active Directory B2C. |
| Условный доступ | Управление доступом к облачным приложениям. Дополнительные сведения см. в документации по условному доступу в Azure AD. |
| Управление устройствами | Управление тем, как облачные и локальные устройства получают доступ к корпоративным данным. Дополнительные сведения см. в статье Документация по управлению устройствами в Azure AD. |
| Доменные службы | Присоединение виртуальных машин Azure к домену без использования контроллеров домена. Дополнительные сведения см. на странице Документация по доменным службам Azure AD. |
| Пользователи Enterprise | Управление назначением лицензий, доступом к приложениям и настройка делегатов с использованием групп и ролей администратора. Дополнительные сведения см. в документации по управлению Azure Active Directory. |
| Гибридное удостоверение | Использование Azure Active Directory Connect и Connect Health для предоставления одного идентификатора пользователя для аутентификации и авторизации во всех ресурсах, независимо от расположения (локально или в облаке). Дополнительные сведения см. в статье Документация по гибридной идентификации. |
| Identity Governance | Управление идентификацией для приложений организации с задействованием сотрудников, бизнес-партнеров, поставщиков, служб и элементов управления доступом к приложениям. Вы также можете выполнять проверки доступа. Дополнительные сведения см. в документации по системе управления идентификацией Azure AD и проверке доступа Azure AD. |
| Защита идентификации | Определение потенциальных уязвимостей, влияющих на удостоверения организации, настройка политик для ответа на подозрительную активность и выполнение соответствующих действий для ее устранения. Дополнительные сведения см. в статье Защита идентификации Azure Active Directory. |
| Управляемые удостоверения для ресурсов Azure | Предоставление службам Azure автоматически управляемого удостоверения в Azure AD, с помощью которого можно пройти аутентификацию в любой поддерживаемой службе Azure AD, в том числе Key Vault. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure. |
| Управление привилегированными пользователями (PIM) | Управление, контроль и мониторинг доступа в организации. Эта возможность включает доступ к ресурсам в Azure AD и Azure, а также к остальным веб-службам Майкрософт, таким как Microsoft 365 или Intune. Дополнительные сведения см. в статье об Azure Active Directory Privileged Identity Management. |
| Отчеты и мониторинг | Получение ценных сведений о безопасности и особенностях использования ресурсов в вашей среде. Дополнительные сведения см. в статье Создание отчетов и мониторинг в Azure Active Directory. |
Терминология
Чтобы лучше понять Azure AD и сопутствующую документацию, мы рекомендуем изучить приведенные ниже термины.