В беседе с руководителем направления бизнес-архитектуры глобального подразделения Microsoft по работе с корпоративными заказчиками Эриком Джуитт мы постарались обобщить актуальные сведения об Azure.
Что нового?
Прежде всего попытаемся выяснить, какие изменения и усовершенствования были внесены в Azure после запуска платформы и анализа ее практического использования клиентами. По словам Джуитт, с момента выхода в 2009 году Windows Azure постоянно развивается, дополняясь новыми сервисами, новой функциональностью. Сложно перечислить все изменения в продукте за это время. Пожалуй, одно из кардинальных изменений произошло весной этого года, когда Microsoft объявила о коммерческой доступности сервисов Windows Azure IaaS (виртуальные машины и VPN) в дополнение к сервисам PaaS. Помимо этого, с января 2013 года и до сегодняшнего момента было выпущено более 20 новых сервисов и улучшений. Среди них: Media Services — платформа Microsoft для медиавещания, которая предлагает все компоненты, требующиеся медиакомпаниям и контент-провайдерам для создания собственных сервисов и приложений; Azure Web Sites — сервисы для создания гибких безопасных и масштабируемых веб-приложений; HD Insight (публичное превью) — так называемый Hadoop для Windows, сервисы аутентификации. Были и другие обновления.
Важно понимать, что вместе с Windows Azure меняются и локально устанавливаемые продукты — Windows Server, System Center, Visual Studio.
«Можно сказать, что наше облако и традиционные решения сближаются, и благодаря этому теперь стало легко интегрировать в единую среду локальный ЦОД и Windows Azure и, что очень важно, управлять ею с помощью единых инструментов. Это наше конкурентное преимущество», — говорит Джуитт.
Azure будет продолжать развиваться и совершенствоваться. В настоящее время Microsoft активно работает над подготовкой к коммерческой эксплуатации тех сервисов, что доступны в предварительных версиях. Разумеется, ведется работа и над новыми сервисами, пока, правда, информация о них закрыта.
Как поясняют в Microsoft, сервисы Azure можно сравнить со строительными блоками. Клиент может использовать эти блоки как фрагменты пазла, чтобы быстро создавать приложения и затем запускать их в ЦОД Azure. Компоненты PaaS полностью берут на себя управление приложениями и их масштабирование, когда это необходимо.
Инфраструктурные сервисы предлагают такие же возможности для конфигурирования и управления, как и те, которые заказчик использует при работе с собственными серверами. Несмотря на то что сервисы инфраструктуры предоставляются из дата-центров Microsoft, заказчик может использовать Azure, как если бы он управлял собственным ЦОД. Клиент может создавать виртуальные машины, присваивать им частные IP-адреса и соединять их через VPN с локальной инфраструктурой. Это позволяет облаку Windows Azure действовать как локальный ЦОД предприятия и запускать приложения с минимальными изменениями или вообще без них. И при этом не потребуются инвестиции в серверные стойки, охлаждение или вообще в отдельное здание. Эти «строительные блоки» позволяют использовать Windows Azure как IaaS.
То есть Windows Azure предлагает IaaS и PaaS в рамках единой платформы. IaaS дает гибкость, PaaS уменьшает сложность. Можно использовать PaaS там, где это возможно, а IaaS — тогда, когда это необходимо. С Azure клиент может использовать эти модели вместе или отдельно и создавать перспективные приложения.
Гибридная среда
Можно ли с помощью Azure и других корпоративных продуктов Microsoft построить гибридное облако? Можно. Но есть нюансы.
«Гибридное облако — понятие более глубокое, чем многие считают сегодня, — говорит Джуитт. — Зачастую под гибридным облаком подразумевают некую совокупность ресурсов внутренней инфраструктуры и внешней среды, которые можно задействовать одновременно. Но это лишь часть необходимого условия. Частное, публичное или гибридное облако — это инструмент для предоставления сервисов и, как следствие, средство для достижения бизнес-результатов».
Это значит, что и рассматривать такое средство необходимо сразу с нескольких сторон, полагают в Microsoft. В качестве фундамента должна быть инфраструктура, которая предоставит необходимые ресурсы в любой момент времени под конкретную задачу. Полагать, что такая инфраструктура будет единообразной, не стоит, поэтому под гибридной инфраструктурой облака необходимо рассматривать среду, которая может состоять из традиционной виртуальной инфраструктуры на основе иногда даже нескольких гипервизоров и инфраструктуры внешнего облака. Последнюю можно рассматривать как единое пространство для предоставления сервисов на протяжении всего их жизненного цикла. Например, Microsoft System Center VMM предоставляет возможность абстрагироваться от инфраструктуры при управлении сетями, СХД, средами виртуализации и планировать и внедрять ИТ на уровне именно сервисов, а не виртуальных машин.
Но, как уже говорилось, просто запуск нового сервиса или набора сервисов — не гарантия того, что заказчик их получит с определенным уровнем качества. Необходимо контролировать все элементы предоставляемого сервиса, вне зависимости от того, ресурсы какой инфраструктуры задействованы при его предоставлении (внутренние или внешние). Именно в этом и заключается суть гибридного облака. Решить такую задачу можно при помощи продукта SCOM, разработанного в Microsoft: он позволяет контролировать качество предоставления ИТ-сервиса, распределенного между группами серверов или виртуальных машин. Это важный элемент «мозаики», необходимый для формирования именно гибридной среды.
Защита предусмотрена
«В Azure реализовано множество механизмов информационной безопасности, определяемых здравым смыслом и международными стандартами», — подчеркивает Джуитт. Большая часть сервисов сертифицирована по ISO 27001 и соответствует требованиям Cloud Security Alliance, требованиям Евросоюза по защите персональных данных.
Очень интересно решены задачи по защите от внутренних нарушителей. Обслуживающий персонал по умолчанию не имеет доступа ни к обрабатываемым данным, ни к серверам. Доступ предоставляется только после того, как клиент согласовал заявку на техобслуживание, ее подтвердили начальники сотрудника и сотрудник прошел процедуру аутентификации по смарт-карте. При этом доступ предоставляется только на согласованное время и все выполняемые операции заносятся в журнал событий.
В Windows Azure доступна и двухфакторная аутентификация. С аналогичными решениями многие пользователи интернет-банков уже знакомы. Кроме пароля, для аутентификации можно просить пользователя ввести код, высланный ему в SMS-сообщении, нажать определенную кнопку во время входящего звонка от робота или сгенерировать код доступа в приложении на его смартфоне/планшете. Также есть возможность использовать этот функционал не только для аутентификации в облачных сервисах, но и для своих корпоративных приложений. Сервис Windows Azure Multi-Factor Authentication берет на себя все обязанности по мультифакторной аутентификации пользователей и передает информацию об успешных попытках входа приложениям.
Также интересно отметить, что часть защитных механизмов входит в состав основных сервисов Azure, а часть может быть предоставлена пользователям в виде отдельно оплачиваемой услуги. Это так называемый сценарий Security as a Service (SECaaS). Например, вместо того чтобы разворачивать у себя сервис AD RMS для защиты данных, компания может использовать его облачную версию. При этом облако только генерирует и распространяет ключи, но никогда не получает доступа к документам клиента, так как они не хранятся в нем и не передаются через него.