Überblick über Microsoft Azure

Überblick über Microsoft Azure Autor: Holger Sirtl Version: 2.3 Azure SDK: 2.3 Stand: 08.04.2014 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Information in this document, including URL and other Internet Web site references, is subject to change without notice. This document supports a preliminary release of software that may be changed substantially prior to final commercial release, and is the proprietary information of Microsoft Corporation. This document is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EITHER EXPRESS OR IM- PLIED, AS TO THE INFORMATION IN THIS DOCUMENT. The entire risk of the use or the results from the use of this document remains with the user. Complying with all applicable copyright laws is the responsibility of the user. Without limiting the rights under copyright, no part of this document may be reproduced, stored in or introduced into a retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying, recording, or otherwise), or for any purpose, without the express written permission of Microsoft Corporation. Microsoft may have patents, patent applications, trademarks, copyrights, or other intellectual property rights covering subject matter in this document. Except as expressly provided in any written license agreement from Microsoft, the furnishing of this document does not give you any license to these patents, trademarks, copyrights, or other intellectual property. Unless otherwise noted, the example companies, organizations, products, domain names, e-mail addresses, logos, people, places and events depicted herein are fictitious, and no association with any real company, organization, product, domain name, email address, logo, person, place or event is intended or should be inferred. 2014 Microsoft Corporation. All rights reserved. Microsoft, Internet Explorer, Windows, and Visual Studio are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners. 2014, Microsoft Deutschland GmbH i

ii 2014, Microsoft Deutschland GmbH

Inhaltsverzeichnis 1 Cloud Computing mit Microsoft Azure 1 1.1 Cloud Computing... 1 1.2 Cloud Dienste der Microsoft Azure Plattform... 2 2 Ausführung eigener Anwendungslogik auf Microsoft Azure 5 2.1 Websites... 6 2.2 Cloud Services... 7 2.3 Virtual Machines... 9 2.4 Mobile Services...10 3 Speicherung und Auswertung von Daten auf Microsoft Azure 11 3.1 NoSQL-Datenspeicherung...12 3.2 Relationale Datenspeicherung mit SQL Database...13 3.3 Business Analytics...14 3.4 Caching...15 3.5 Datensicherung...16 4 Sicherheit Azure-basierter Anwendungen 17 4.1 Active Directory...18 4.2 Multi-Factor Authentication...19 4.3 Microsoft Azure Trust Center...20 5 Anwendungsdienste zur Verwendung in eigenen Apps 21 5.1 Media Services...21 5.2 Notification Hubs...21 5.3 Scheduler...22 5.4 Automation...22 6 Integration Azure-basierter Anwendungen in die eigene IT 23 6.1 Datenintegration über SQL DataSync...23 6.2 Anwendungsintegration...24 6.3 Netzwerkintegration...28 7 Erste Schritte mit Microsoft Azure 30 2014, Microsoft Deutschland GmbH iii

Abbildungsverzeichnis Abb. 1-1 Grobaufbau der Microsoft Azure Plattform... 2 Abb. 2-1 Ausführungsmodelle für Cloud Anwendungen... 5 Abb. 4-1 Microsoft Azure Active Directory Access Control...19 Abb. 6-1 Microsoft Azure SQL DataSync...24 Abb. 6-2 Microsoft Azure Queues...25 Abb. 6-3 Microsoft Azure Service Bus...26 Abb. 6-4 Microsoft Azure Service Bus Topics und Subscriptions...27 Abb. 6-5 Microsoft Azure Traffic Manager...29 2014, Microsoft Deutschland GmbH v

1 Cloud Computing mit Microsoft Azure Microsoft Azure ist Microsofts Public Cloud Plattform für Entwickler und Administratoren, die eigene Softwareanwendungen ganz oder in Teilen in der Cloud ausführen möchten. Die Plattform umfasst eine Reihe von Cloud Services, die einzeln oder in Kombination genutzt werden können, dabei bedarfsabhängig in quasi beliebiger Kapazität bereitgestellt und nutzungsabhängig abgerechnet werden. Zu diesen Services gehören unter anderem solche, mit denen Anwendungen in der Cloud ausgeführt, andere, mit denen unterschiedliche Daten in der Cloud gespeichert und effizient verarbeitet und wieder andere, mit denen Cloud-Elemente sicher und effektiv mit Ressourcen aus einem eigenen Rechenzentrum bzw. lokal ausgeführten Client- Anwendungen verknüpft werden können. Tatsächlich sind derartige Hybrid-Lösungen, bei denen einzelne Anwendungsteile in der Cloud, andere Teile in einer lokalen Ausführungsumgebung zusammen betrieben werden, eine große Stärke von Microsoft Azure. So könnte beispielsweise eine klassische Windows Rich-Client Anwendung Daten in Microsoft Azure Storage speichern, Apps auf mobilen Endgeräten über Microsoft Azure Nachrichten untereinander austauschen, eine lokal betriebene SQL Server Datenbank sich ganz oder in Teilen mit einer Cloud Datenbank synchronisieren, eine in Microsoft Azure betriebene Webanwendung über den Service Bus ein lokal ausgeführtes Backend-System aufrufen. Viele weitere Hybrid-Szenarien sind denkbar. Selbstverständlich können Anwendungen auch vollständig auf Microsoft Azure betrieben werden. Zur Erstellung und Migration Azure-basierter Anwendungen stehen verschiedene Entwicklungs- und Management-Umgebungen (Visual Studio, Eclipse, System Center, ) und Programmiertechnologien (.NET, Java, PHP, Python, ) mit entsprechenden APIs zur Verfügung. Entwickler können dadurch auf vorhandes Wissen aufsetzen. 1.1 Cloud Computing Häufig wird der Begriff Cloud Computing normativ, d.h. über bestimmte Eigenschaften, die man im Allgemeinen mit Cloud Computing verbindet, definiert. Microsoft Azure erfüllt diese Eigenschaften und kann deshalb zu Recht als Cloud Plattform bezeichnet werden: Azure Services können in quasi beliebiger Kapazität bereitgestellt werden, hierzu sind keine Vorab-Investitionen erforderlich. Kapazitätsplanungen zu Beginn eines Softwareprojektes vereinfachen sich drastisch: der Start der Anwendung kann in einer kleinen, 2014, Microsoft Deutschland GmbH 1

kostengünstigen Umgebung erfolgen, und bei entsprechender Last können schnell zusätzliche Ressourcen hinzugeschaltet werden. Die Dienste werden bedarfsgerecht bereitgestellt, d.h. sobald Bedarf an Rechen-, Speicher- oder Kommunikationsleistung besteht, können die Dienste genutzt werden, sobald kein Bedarf mehr besteht, können die Dienste wieder deaktiviert werden. Die Abrechnung erfolgt dabei nutzungsabhängig, d.h. nur für die tatsächlich genutzte Kapazität fallen während der Nutzung Kosten an. Über Standardschnittstellen (z.b. RESTful Services) können die Services über alle Technologien genutzt werden, die diese Standards unterstützen (z.b..net, Java, PHP, ). 1.2 Cloud Dienste der Microsoft Azure Plattform Abb. 1-1 zeigt den Grobaufbau der Microsoft Azure Plattform, der verdeutlicht, wie die Bestandteile der Plattform zusammenspielen. Abb. 1-1 Grobaufbau der Microsoft Azure Plattform Microsofts Cloud Infrastruktur bildet die Basis für alle weiteren Dienste. Dabei handelt es sich um Server- und Netzwerkkomponenten, die den sicheren Betrieb der Plattform gewährleisten und in Microsofts Rechenzentren vorgehalten werden und bei Bedarf schnell zum Einsatz kommen. Einzelne Dienste aus Azure (z.b. Websites und Virtual Machines) können mittels des Microsoft Azure Packs im eigenen Rechenzentrum auf einer Windows-Server-Umgebung betrieben werden. 2 2014, Microsoft Deutschland GmbH

Zur Ausführung eigener Anwendungslogik stehen verschiedene Dienste der Kategorien Infrastructure-as-a-Services (IaaS) und Platform-as-a-Services (PaaS) zur Verfügung. Der Anwender entscheidet, welche Betriebsaspekte automatisiert durch die Plattform übernommen werden und welche er selbst verwalten möchte. Auf IaaS-Ebene besteht die Möglichkeit, vorgefertigte oder eigene Windows- oder Linux-basierte virtuelle Maschinen auf Azure auszuführen. Im PaaS-Bereich gibt es Cloud Services für komplexere, Multi-tier-Web-Anwendungen, Websites für schnelles, flexibles Webhosting, Mobile Services als Backend für mobile Anwendungen und Media Services zur Implementierung von Medien-Workflows. Funktionsgruppe Azure Service Beschreibung Kapitel Ausführung eigener Anwendungslogik Websites Hosting kleinerer Webapps 2.1 Cloud Services Hosting hoch-skalierbarer Apps 2.2 Virtual Machines Hosting von virtuellen Maschinen 2.3 Mobile Services Dienste für Connected Mobile Apps 2.4 Speicherung und Auswertung von Daten Tables No-SQL-Datenbank 3.1.1 Blobs Speicherung großer Binärdaten 3.1.2 Drives Persistente HDDs für Cloud Services Error! SQL Database Relationaler Datenbankdienst 3.2 HD Insight Big-Data-Berechnungen 3.3 Reference source not found. Cache Service Zentral bereitgestellter Cache 3.4.1 In-Role Cache Cache innerhalb von Cloud Service VMs 3.4.3 CDN Globales Caching von Blob-Daten 3.4.3 Backup Service Sicherung virtueller Maschinen 3.5.1 Recovery Services Wiederherstellung virtueller Maschinen 3.5.2 Sicherheit Azure-basierter Anwendungen Anwendungsdienste zur Verwendung in eigenen Apps Active Directory Benutzerverzeichnis 4.1 Multi-Factor Authentication Multi-Faktor Authentifizierung Error! Media Services Medien-Workflows in der Cloud 5.1 Notification Hubs Benachrichtigungen an viele Clients 5.2 Scheduler Zeitgesteuerte Ausführung von Logik 5.3 Reference source not found. Automation Automatisiertes Management 5.4 Integration und Kommunikation SQL DataSync Synchronisation von SQL DBs 6.1 Queues Nachrichtenversand 6.2.1 2014, Microsoft Deutschland GmbH 3

Funktionsgruppe Azure Service Beschreibung Kapitel Service Bus Internet Service Bus 6.2.2 BizTalk Services Integration von Backend-Systemen 6.2.3 Express Route Exklusive Netzwerkverbindungen 6.3.1 Virtual Network Netzwerk-zu-Netzwerk VPN 6.3.2 Traffic Manager Routing von Service-Zugriffen 6.3.3 Tabelle 1-1 Cloud Dienste der Microsoft Azure Plattform Aus eigenen Anwendungen (egal ob auf Azure oder lokal ausgeführt) heraus können weitere Dienste genutzt werden. Im Bereich Identity gibt es Dienste zur Authentifizierung und Benutzerverwaltung. Integrationsdienste können zur Kommunikation und Integration verteilter Anwendungskomponenten genutzt werden und zur Datenspeicherung und auswertung gibt es eine ganze Palette verschiedener Speicherdienste. In Tabelle 1-1 listet die Dienste der einzelnen Funktionsgruppen auf und verweist auf die jeweiligen Abschnitte in diesem Dokument. Die von Azure angebotenen Dienste sind hochverfügbar ausgelegt. Sie werden ständig überwacht und auf dem neuesten Stand gehalten. Ausfälle werden erkannt und automatisch entsprechende Instandsetzungsmaßnahmen eingeleitet. Die Dienste können auf schwankende Last reagieren, d.h. über einen Auto-Scaling-Mechanismus auf Wunsch automatisch Ressourcen hinzufügen oder entfernen. Managementaufgaben, die Anwender selbst ausführen möchten, können über ein Web Portal, PowerShell-Skripte oder REST-Schnittstellen angesteuert werden. Für alle bereitgestellten Dienste werden passende Entwicklerwerkzeuge bereitgestellt, die den Application Lifecycle angefangen vom Erstellen, über das Testen bis hin zum Deployment und Betrieb sehr einfach gestalten. Dabei werden neben Microsoft-Entwicklungsplattformen (.NET und Visual Studio) auch diverse andere Plattformen und Werkzeuge (Node.JS, Java, PHP, Python, Ruby, Eclipse) mit entsprechenden Erweiterungen unterstützt. Auch die Interaktion mit verschiedenen Quellcode-Verwaltungssystemen (Team Foundation Service, Git etc.) wird unterstützt. 4 2014, Microsoft Deutschland GmbH

2 Ausführung eigener Anwendungslogik auf Microsoft Azure Wer sich dem Thema Cloud Computing mit Microsoft Azure nähert, denkt häufig zunächst an die Möglichkeit, Anwendungen in der Cloud, d.h. Microsofts Rechenzentren auszuführen. Wenngleich dies nicht die einzige Funktion von Microsoft Azure ist, ist sie doch eine zentrale. Weitere Dienste der Plattform wie beispielsweise Speicher, Datenbank oder Service Bus können dann auch wenn sie auch alleine genutzt werden könnten problemlos mit den auf Microsoft Azure ausgeführten Anwendungen kombiniert werden. Zur Ausführung von Anwendungen in der Cloud stellt Microsoft Azure drei Modelle zur Verfügung, die in Abb. 2-1 skizziert sind: Websites, Cloud Services und Virtual Machines. Diese können unabhängig voneinander, aber auch in Kombination genutzt werden. Auch bestehen Migrationspfade von Websites zu Cloud Services und von Cloud Services zu Virtual Machines. Websites bieten dabei eine kostengünstige Hosting-Möglichkeit für Web-Anwendungen, Cloud Services eignen sich ideal für Aufbau und Betrieb hoch-skalierbarer, hoch-verfügbarer Anwendungen bei minimalem Administrationsaufwand, und Virtual Machines erlauben den Betrieb eigener oder vorgefertigter virtueller Maschinen in der Cloud. Abb. 2-1 Ausführungsmodelle für Cloud Anwendungen Folgende Tabelle stellt die einzelnen Ausführungsmodelle, die unter Microsoft Azure bereitstehen, gegenüber. 2014, Microsoft Deutschland GmbH 5

Websites Cloud Services Virtual Machines Ebene (PaaS/IaaS) PaaS mit der Portabilität von IaaS PaaS IaaS Verwaltetes Artefakt Website (z.b. ASP.NET Website) Cloud Service Virtuelle Maschine Portabilität Vollständig portabel Entwurf oder Anpassung für die Cloud Vollständig portabel Management Automatisiert Automatisiert Manuell Architektur 2-Schicht IIS Websites Flexibel Flexibel Persistenz Persistenz auf VM-Ebene Keine Persistenz der VMs (persistente Drives möglich) Jede VM ist persistent Provisionierung < 20 Sekunden 8-10 Minuten 8-10 Minuten Systemplattform Windows Server / IIS Windows Server Windows Server, Linux Deployment Web Deploy, FTP, Git, TFS Paketierung und Publish Erstellung und Upload von VHDs oder Auswahl aus einer Gallery Gallery Web Frameworks (z.b. Wordpress, PHP, ) Microsoft OS-Images (Web Roles und Worker Microsoft oder eigene OS Images Roles) Tabelle 2: Gegenüberstellung der Ausführungsmodelle unter Microsoft Azure Für bestimmte Szenarien stellt Microsoft Azure bereits vorkonfigurierte Sammlungen von Diensten zur Verfügung, die sehr leicht an konkrete Anforderungen angepasst werden können: über Mobile Services können sehr einfach und schnell leistungsfähige Backend-Dienste für mobile Anwendungen bereitgestellt werden. 2.1 Websites Microsoft Azure Websites sind (neben Cloud Services und Virtual Machines) eine von drei Optionen zur Ausführung von Web-Anwendungen in der Cloud. Sie stellen eine kostengünstige, aber trotzdem gut skalierbare Hosting-Variante für Websites bereit. Über das Microsoft Azure Portal können hierzu sehr schnell und einfach Umgebungen eingerichtet, mit zahlreichen Web Frameworks (ASP.NET, Java, PHP, Node.js,...) und Anwendungen (Joomla, Wordpress, Drupal,...) vorkonfiguriert und von verschiedenen Entwicklungsplattformen aus mit Webanwendungen bestückt werden. Hierbei werden als Deployment-Optionen unter anderem GIT, FTP, Web- Deploy und TFS 1 Deploy unterstützt. Das Portal bietet hierzu verschiedene Deployment-Skripte 1 Team Foundation Server (Bestandteil der Visual Studio Plattform) 6 2014, Microsoft Deutschland GmbH

an, die in eigene Entwicklungsumgebungen importiert werden können. Damit können Websites neben Windows auch in Nicht-Microsoft-Umgebungen wie Linux oder MacOS entwickelt und dann auf Microsoft Azure betrieben werden. Auch ist ein automatisiertes Deployment direkt aus Quellcode-Verwaltungen (unter anderem Git, TF Service, Dropbox, Skydrive, ) heraus möglich. Sobald ein Entwickler neuen Code einstellt, erfolgt automatisch ein neues Deployment (welches über das Portal auch rückgängig gemacht werden kann), so dass eine Website stets auf dem aktuellsten Quellcode-Stand ist. Zur Ausführung der Websites stehen mehrere Betriebsarten zur Verfügung: im "Shared"-Modell werden eine oder mehrere Instanzen der Anwendung in einer Multi-Mandanten-Umgebung betrieben, im kostenlosen Free -Modell ist die Zahl der Instanzen auf eine einzige beschränkt, im "Basic"-Modell erfolgt der Betrieb in exklusiv für die Anwendung bereitgestellten virtuellen Maschinen. Das Standard -Modell bietet darüber hinaus noch Backup und Restore, Auto-Scaling, Webjobs, Scheduler Unterstützung und das stufenweise Publishing über eine Staging-Umgebung. Zwischen den Betriebsarten kann flexibel gewechselt werden. Damit ist sowohl Scale-out (Hinzuschalten zusätzlicher Instanzen gleicher Größe) als auch Scale-up (Vergrößerung der bestehenden Instanzen im Basic - oder Standard -Modell) zur Anpassung der Umgebung an sich ändernde Last möglich. Dies kann im Standard -Modell mit der AutoScale-Funktion auch (in abhängigkeit von der CPU-Last) automatisiert werden. Konfiguration und Verwaltung der zur Ausführung von Websites genutzten virtuellen Maschinen wird vollständig durch Microsoft Azure übernommen. Für die Persistierung von Daten stehen als Datenbanken MySql und Microsoft Azure SQL Database zur Auswahl. Aus Websites heraus können natürlich auch die weiteren Dienste der Microsoft Azure Plattform genutzt werden. So kann eine Website Authentifizierung von Benutzern über das Azure Active Directory durchführen. URL: http://www.windowsazure.com/en-us/home/scenarios/web-sites/ 2.2 Cloud Services Microsoft Azure Cloud Services sind (neben Websites und Virtual Machines) eine von drei Optionen zur Ausführung von Anwendungen in der Cloud. Der Fokus liegt bei Cloud Services stark auf hoch-verfügbaren, hoch-skalierenden Multi-Tier-Web-Anwendungen, die maximal von der flexiblen Ressourcenbereitstellung der Public Cloud profitieren sollen. Diese Anwendungen können in Komponenten, genannt "Rollen", untergliedert werden, die unabhängig voneinander skaliert werden können. Microsoft Azure übernimmt dabei das Management der zur Ausführung der Rollen benötigten virtuellen Maschinen. Dies schließt Upgrades der Gast- 2014, Microsoft Deutschland GmbH 7

Betriebssysteme, Patching und Failover (ausgefallene Komponenten werden automatisch ersetzt) ein. Anders als bei Websites haben Entwickler vollen administrativen Zugang auf die virtuellen Maschinen, um beispielsweise zusätzliche Software in die einzelnen Instanzen zu installieren. Hierzu werden auch Remote Desktop Verbindungen zur Administration unterstützt. Rollen können unabhängig voneinander skaliert werden (Hinzuschalten bzw. Entfernen von Instanzen); mit der Autoscaling-Funktion kann dieser Vorgang auch (in Abhängigkeit von verschiedenen Lastparametern) automatisiert werden. Die Entwicklung von Cloud Services kann über Visual Studio oder auch Eclipse erfolgen. Die Anwendungen können zunächst in einem Azure Emulator lokal ausgeführt und - nach erfolgreichem Test - direkt aus der Entwicklungsumgebung heraus in die Cloud deployt werden. Cloud Services bieten demnach Entwicklung und Betrieb von Anwendungen im Sinne des PaaS-Modells (PaaS = Platform-as-a-Service). Cloud Services bieten dabei mehr Kontrolle über das Deployment und die Verteilung von Anwendungskomponenten als Websites. Microsoft Azure basierte Cloud Services werden in der Cloud letztlich in auf Windows Server basierenden virtuellen Maschinen (VMs) ausgeführt. Es hängt vom Aufbau des Cloud Service, der gewählten Instanzgrößen und VM Versionen ab, wie diese VMs von Microsoft Azure konfiguriert werden. Der Entwickler kann den Aufbau über eine Cloud-Service-Definition (csdef) und eine Cloud-Service-Konfiguration (cscfg) bestimmen. Im Deploymentpaket, welches von Visual Studio, Eclipse oder Kommandozeilentools erstellt werden kann, befinden sich dann alle zur Ausführung der Anwendung benötigten Komponenten (Anwendungscode, Libraries, Frameworks, Serversysteme etc.). Der Rest wird von Microsoft Azure übernommen. Wird die Zahl der Instanzen (durch Änderung der Konfiguration oder durch Nutzung der AutoScale- Funktion) zur Laufzeit geändert, werden entsprechend Instanzen automatisch heruntergefahren bzw. zusätzliche Instanzen provisioniert und der vorgeschaltete Loadbalancer passend umkonfiguriert. Der administrative Aufwand für den Nutzer beschränkt sich somit auf ein Minimum. Die Kosten für den Betrieb werden pro Stunde angesetzt. Werden neue virtuelle Maschinen erzeugt (z.b. bei einem größeren Patch oder bei Hardware-Ausfall), so wird ihr Zustand auf den Deployment-Zeitpunkt zurückgesetzt, d.h. die virtuelle Maschine wird aus einem Basis- Image und dem Deployment-Paket erzeugt. Anders als bei Virtual Machines sind die virtuellen Maschinen von Cloud Services nicht persistent. In Cloud Services ausgeführte Anwendungen sollten ihren Zustand also außerhalb der virtuellen Maschinen (z.b. in Microsoft Azure Storage oder SQL Database) speichern und die Laufwerke innerhalb der virtuellen Maschinen nur für Caching-Zwecke nutzen. URL: http://www.windowsazure.com/en-us/home/scenarios/cloud-services/ 8 2014, Microsoft Deutschland GmbH

2.3 Virtual Machines Virtual Machines bringen das IaaS-Element in Microsoft Azure ein. Sie erlauben den Betrieb selbst erstellter oder von Microsoft bereitgestellter virtueller Maschinen auf Microsoft Azure. Diese werden minutengenau abgerechnet. Zur Bereitstellung einer Virtual Machine ist letztlich nur die Festlegung einer VHD (hier werden Standard-VHDs eingesetzt), auf deren Basis der Bootvorgang ablaufen soll, die VM-Größe sowie abhängig von der gewählten VHD ein paar wenige Konfigurationsparameter (z.b. Administratorkennung, DNS-Name) erforderlich. Die in den virtuellen Maschinen eingesetzten Festplattenlaufwerke werden im Blob Storage persistiert. Damit bleiben alle Inhalte erhalten, sollte eine virtuelle Maschine einem Re-Image unterzogen werden (z.b. bei Hardware-Ausfall). Für die Inhalte gelten die gleichen Regeln für Failover (3-fach-Speicherung aller Inhalte, optionale Geo-Replikation in ein entferntes Rechenzentrum) wie für alle anderen Inhalte des Blob Storage. Da von Microsoft Azure Standard- VHDs genutzt werden, können sowohl bestehende VMs aus einer lokalen Hyper-V-Umgebung in die Cloud migriert und als Virtual Machine ausgeführt werden, als auch der umgekehrte Weg beschritten werden: VHDs können aus Microsoft Azure heruntergeladen und in einer entsprechenden Hyper-V-Umgebung lokal ausgeführt werden. Als Gast-Betriebssysteme für Virtual Machines werden sowohl verschiedene Windows Server Varianten als auch ausgewählte Linux-Distributionen unterstützt. Ebenfalls unterstützt werden einige Serveranwendungen wie SQL Server, SharePoint Server, BizTalk Server und Active Directory. Durch Kooperation mit Oracle werden auch Anwendungen aus dem Oracle-Technologieportfolio (WebLogic, Java, Oracle DB, ) unterstützt. Es ist möglich, neue VHDs in einer lokalen Hyper-V-Umgebung zu erzeugen, nach Windwos Azure zu laden und von den VHDs neue Virtual Machines zu booten. Daneben können auch bereits vorgefertigte mit entsprechender Serversoftware bestückte Images aus einer Gallery ausgewählt und gestartet werden. Damit ist es möglich, wichtige Teile der Serverumgebungen eines eigenen Rechenzentrums ohne Änderung nach Microsoft Azure zu migrieren. Die minutengenaue Abrechnung macht dieses Ausführungsmodell auch für die Bereitstellung von Test- oder Demo-Umgebungen interessant, wo Infrastruktur nur temporär benötigt wird. Wie die anderen Ausführungsmodelle können auch Virtual Machines in Kombination mit anderen Azure Services genutzt werden. So kann eine in einer VM ausgeführte Anwendung beispielsweise problemlos Microsoft Azure Storage oder SQL Database nutzen oder Benutzerauthentifizierung über den Access Control Service abwickeln. Besonders interessant ist die Kombination mit dem Virtual Network (siehe 6.3.2): Durch die Möglichkeit ein lokale und Cloud-VMs umspannendes virtuelles Netzwerk mit gemeinsamen Ipv4-Adressraum und entsprechenden Routing Tabellen einzurichten, können virtuelle Maschinen flexibel zwischen der Cloud und einem lokalen Rechenzentrum hin- und hergeschoben werden ohne dass dies aus Netzwerksicht Auswirkungen auf die anderen VMs hat. 2014, Microsoft Deutschland GmbH 9

URL: http://www.windowsazure.com/en-us/home/scenarios/virtual-machines/ 2.4 Mobile Services Sogenannte Connected mobile Apps, d.h. leichtgewichtige Anwendungen, die auf mobilen Endgeräten ausgeführt werden, sind häufig über Backend-Services vernetzt. Über diese Dienste tauschen die einzelnen Clients Daten aus, speichern Daten, führen Authentifizierung durch etc. Microsoft Azure Mobile Services bieten eine Sammlung genau solcher, häufig benötigter Dienste auf Microsoft Azure an. Zu diesen Diensten gehören unter anderem folgende Funktionen: Benutzerauthentifizierung (via Microsoft Account, Facebook, Twitter und Google ID) mit entsprechender Zugriffskontrolle bei Service-Aufrufen Speicherung von Daten in Blob, Table, Queue Service oder SQL Database Kommunikation via Service Bus Push Notifications Zeitgesteuerte Ausführung serverseitiger Skripte Darüber hinaus ist es möglich, neben den Daten-basierten Schnittstellen (für das Schreiben, Lesen, Ändern, Löschen von Daten) eigene Schnittstellen mit in.net oder JavaScript implementierter Funktionalität implementieren. Die vorkonfigurierten Microsoft Azure Mobile Services können ohne größeren Programmieraufwand sehr einfach als Backend-Dienste für Windows 8.x, Windows Phone 8.x, ios, Android und Web Clients eingesetzt werden. Es können Vorlagen für entsprechende neue Apps oder Code Fragmente für bestehende Apps aus dem Portal heruntergeladen werden. Die Entwicklung einfacher mobiler Anwendungen, die Cloud Dienste nutzen sollen, vereinfacht sich dadurch deutlich. URL: http://www.windowsazure.com/en-us/home/scenarios/mobile/ 10 2014, Microsoft Deutschland GmbH

3 Speicherung und Auswertung von Daten auf Microsoft Azure Sichere Datenspeicherung ist eine zentrale Anforderung in nahezu jeder Anwendung. Eine Möglichkeit zur Speicherung von Daten wurde bereits in Abschnitt 2.3 vorgestellt: Speicherung in Virtual Machines. Dies kann in den Laufwerken der Virtual Machine, einem vorkonfiguriertem SQL Server geschehen oder auch in beliebigen anderen Speichersystem (auch Non-SQL-Systeme wie MongoDB, Cassandra etc.), welches in einer Virtual Machine betrieben wird. Durch die Persistierung der Festplatten in Blob Storage sind die Daten sicher abgelegt. Microsoft Azure stellt darüber hinaus auch verschiedene Speichertypen als echte Cloud Services zur Verfügung. Das Management dieser Speicher wird weitestgehend durch Microsoft Azure übernommen. Für relationale Datenspeicherung gibt es SQL Database, für Non-SQL- Speicherung semi-strukturierter Daten gibt es Table Storage, für große Binärdaten (Dokumente, Videos, Musik, statische Webseiteninhalte) gibt es Blob Storage und als persistentes Dateisystem stehen Azure Drives zur Verfügung. Folgende Tabelle gibt einen Überblick über die verschiedenen Speicheroptionen. RDBMS in einer VM SQL Database Table Storage Blob Storage Disks Filesystem in einer (z.b. SQL) VM Info-Typ Tabellen mit Schema Key-Value BLOBs flexibel Redundanz Ja, 3-fach Nein VM-Bindung Ja Nein Ja Optimierung Mehrere Keys Ein Key n/a Durchsatz Hoch Sehr hoch Schnittstelle TDS RESTful NTFS Speicherkosten Ja Nein Tx-Kosten Nein Ja Nein Use Cases Relationale Datenspeicherung und -verarbeitung Semi-strukt. Daten mit ei- Große Binärdaten (Bil- Frameworks, die ein per- Caching von Daten (SQL) nem Schlüssel der, Videos etc.) sistentes FS benötigen Tabelle 3: Gegenüberstellung der Speicheroptionen unter Microsoft Azure Alle diese Speichertypen (bis auf das lokale Dateisystem einer VM) legen Daten dreifach auf verteilten Speichermedien ab. Zugriff ist nicht nur über Anwendungen möglich, die auf Microsoft Azure betrieben werden, sondern auch von außerhalb, d.h. beispielsweise von einer lokal 2014, Microsoft Deutschland GmbH 11

ausgeführten Rich-Client-PC-Anwendung oder einer Smartphone App. Es ist möglich, die Inhalte mit Zugriffsschutz zu versehen. Auch eine zeitliche Zugangsbeschränkung ist möglich. URL: http://www.windowsazure.com/en-us/home/features/data-management/ 3.1 NoSQL-Datenspeicherung Unter Microsoft Azure Storage werden einige Cloud Services zusammengefasst, die nicht-relationale Datenspeicherung und -verarbeitung ermöglichen. Damit grenzen sie sich von SQL Database, dem relationalen Datenbanksystem in Azure ab. Drei Dienste finden sich innerhalb des Microsoft Azure Storage: Table Storage zur Ablage semi-strukturierter Daten in tabellenartig aufgebauten Entity-Sets, Queue Storage 2 zum Nachrichtenversand zwischen lose, d.h. asynchron gekoppelten Kommunikationspartnern und Blob Storage zur Ablage und Verarbeitung großer Binärdaten (BLOB = binary large object). In allen Fällen werden die Daten hochverfügbar abgelegt (hierzu werden Daten automatisch 3-fach gespeichert, Geo-Replikation ist möglich) und stehen über RESTful Schnittstellen zur Verfügung. Ein Sonderfall stellen Microsoft Azure Disks dar: sie stellen auf Basis von Blob Storage ein NTFS-Dateisystem mit entsprechender Filesystemschnittelle zur Verfügung. Damit kann in Microsoft Azure Virtual Machines ein persistentes Dateisystem genutzt werden. 3.1.1 Table Storage Microsoft Azure Table Storage ist die NoSQL-Datenbank der Microsoft Azure Plattform. Anders, als der Name suggeriert, handelt es sich also nicht um ein tabellenbasiertes, relationales Datenbanksystem, sondern um einen Speicher für die Ablage großer semi-strukturierter Datenbestände in der Cloud, für deren Zugriff ein Primärschlüssel ausreichend ist, und keine aufwändigen relationalen Datenbankoperationen erforderlich sind. Table Storage gehört damit zu Key/Value-Speichern, bei denen Gruppen typisierter Propertys (eine Property besteht dabei aus einem Namen, einem Typen (z.b. String, Integer,...) und einem Wert). Eine solche Gruppe kann dann über einen Primärschlüssel ausgelesen werden. Über die Primärschlüsselwerte kann Microsoft Azure Einträge zu Partitionen zusammenfassen und diese zur Performance-Optimierung automatisch auf verschiedene Speichermedien verteilen. Die Daten werden dabei automatisch 3-fach, hoch-verfügbar abgelegt, und können über RESTful-Schnittstellen zugegriffen werden. Als Alternative für den Zugriff stehen für.net, Java und PHP Klassenbibliotheken zur Verfügung. Wenngleich Table Storage gegenüber SQL Database weniger Funktionalität im Bereich Datenmanagement und komplexen Zugriffsoperationen hat, bietet er eine kostengünstige Ablage semi-strukturierter Daten und ermöglicht 2 Queue Storage wird im Kontext der Anwendungsintegration in Abschnitt 6.2.1 behandelt. 12 2014, Microsoft Deutschland GmbH

einen effizienten, hochperformanten Zugriff auf diese Daten. Dabei werden Datenbestände von bis zu 100 Terabyte pro Storage Account unterstützt. URL: http://www.windowsazure.com/en-us/develop/net/how-to-guides/table-services/ 3.1.2 Blob Storage Microsoft Azure Blob Storage erlaubt die sichere, hoch-verfügbare Speicherung großer, unstrukturierter Binärdaten (BLOB = binary large object) in Microsoft Azure. Ein einzelner Blob kann dabei bis zu 1 Terabyte Größe haben. Inhalte werden automatisch 3-fach gespeichert. Darüber hinaus ist Geo-Replikation sowie die Möglichkeit, Blob-Inhalte über das Content Delivery Network (siehe 3.4.3) weltweit verteilt zu cachen, optional verfügbar. Es stehen zwei Arten von Blobs zur Verfügung: Block Blobs und Page Blobs. Erstere eignen sich für sequentiellen Datenupload und -download, letztere bieten wahlfreien Zugriff auf Blob-Abschnitte. URL: http://www.windowsazure.com/en-us/develop/net/how-to-guides/blob-storage/ 3.1.3 Disks Mit Microsoft Azure Disks können aus Microsoft Azure Virtual Machines Daten in ein persistentes Dateisystem gespeichert werden. Eine in einem Microsoft Azure Page Blob abgelegte VHD (virtual hard disk) dient dabei als Speichermedium. Dort abgelegte Daten werden wie bei Page Blobs üblich 3-fach abgelegt und sind somit ausfallsicher gespeichert. Microsoft Azure Disks können zur Laufzeit an Virtual Machines angehängt bzw. abgelöst werden. 3.2 Relationale Datenspeicherung mit SQL Database Mit einem in einer Virtual Machine betriebenen SQL Server wurde bereits eine Möglichkeit vorgestellt, relationale Datenspeicherung und -verarbeitung in Microsoft Azure durchzuführen. Konfiguration und Administration des SQL Servers verbleiben dabei beim Nutzer. SQL Database bringt relationale Datenbanktechnologie als Cloud Service in die Microsoft Azure Plattform ein. Dazu gehören eine relationale Datenbank und ein Synchronisierungsdienst, mit dem mehrere Datenbanken inhaltlich abgeglichen werden können. Der Administrationsaufwand beschränkt sich auf ein Minimum, da dieser weitestgehend von Microsoft Azure übernommen wird. Mit SQL Database verfügt Microsoft Azure über eine echte relationale Datenbank als Cloud Service. Diese ist schnittstellenkompatibel zu SQL Server. Damit ist es möglich, SQL Database über bekannte Technologien (z.b. Entity Framework, ADO.NET, JDBC) und Werkzeuge (z.b. SQL Server Management Studio) zuzugreifen. In vielen Fällen reicht es aus, die Adressierung der 2014, Microsoft Deutschland GmbH 13

anzusprechenden Datenbank über den Connection String zu einer entsprechenden Cloud Datenbank vorzunehmen. Funktional bildet SQL Database eine Teilmenge von SQL Server ab. Zur Verfügung stehen die bekannten Datenbankkonstrukte wie Tabellen, Views, Joins, atomare Transaktionen, Datenintegrität bei konkurrierenden Zugriffen etc. Ebenso wird die SQL Sicherheitsarchitektur mit der Möglichkeit unterstützt, Benutzer anzulegen und diesen Berechtigungen zu vergeben. Im Unterschied zu SQL Server (auch einem SQL Server, der in einer Virtual Machine betrieben wird) handelt es sich bei SQL Database um einen echten Cloud Service. Das Management der Umgebung (Konfiguration von Hardware und Systemsoftware, Überwachung, Einspielen von Patches etc.) wird vollständig durch Microsoft Azure übernommen. Das Einrichten eines neuen Datenbankservers mit einer zugehörigen Datenbank ist eine Frage von Sekunden. Entsprechend schnell kann eine Datenbank wieder gelöscht werden. Die Abrechnung erfolgt entsprechend der Bereitstellungsdauer und der Datenbankgröße. SQL Database erlaubt für einzelne Datenbanken eine Maximalgröße von 500GB 3. Müssen größere Datenbestände verwaltet werden, können diese über SQL Federation auf mehrere Datenbanken (wobei für jede dieser Datenbanken die genannte Maximalgröße gilt) verteilt werden. Eine solche Verteilung kann auch in Fällen mit kleineren Datenbanken sinnvoll sein, wenn Zugriffe im Sinne einer Performance-Optimierung auf mehrere Datenbanken verteilt werden sollen. In den kleineren Ausbaustufen Web und Business Edition werden SQL Databases in einer Multi- Mandanten-Umgebung sehr kostengünstig betrieben. Für höhere Ansprüche hinsichtlich Performanz und garantierter Zugriffszeiten gibt es die Premium Edition, bei der die Datenbank auf dedizierten virtuellen Maschinen ausgeführt wird. URL: http://msdn.microsoft.com/en-us/library/windowsazure/ee336279.aspx 3.3 Big Data mit HD Insight Neben der reinen Datenspeicherung bietet Microsoft Azure auch Möglichkeiten zur Auswertung und Aufbereitung von Daten, die in Azure abgelegt sind. Durch die flexible, unkomplizierte Bereitstellung auch größerer Rechen- und Speicherressourcen, die nach einer Datenauswertung wieder deaktiviert werden können, ist Azure die ideale Umgebung für derartig weitergehende Datenverarbeitung. 3 Stand: April 2014 14 2014, Microsoft Deutschland GmbH

HD Insight ermöglicht die Analyse großer Datenbestände mit Hilfe von Hadoop, einem Open- Source-Framework, welches sich zur Berechnung sogenannter Big Data Probleme, d.h. Auswertungen auf Datenbeständen, die nicht mehr in einer relationalen Datenbank gespeichert werden können (z.b. weil sie zu groß sind oder weil sie nicht relational strukturiert sind), großer Beliebtheit erfreut. Microsoft Azure ermöglicht in diesem Kontext eine automatische Provisionierung von Hadoop-VMs, die Verteilung von Daten und Berechnungsalgorithmen etc. Neben der effizienten Berechnung von Map Reduce Algorithmen werden auch weitere Konzepte wie Hive 4 und Pig 5 unterstützt. URL: https://www.hadooponazure.com/ 3.4 Caching Anwendungen müssen häufig wiederholt auf Daten in entfernten Quellen (z.b. SQL Database, Microsoft Azure Storage,...) zugreifen. Zur Performance-Steigerung kann es sinnvoll sein, diese nach dem erstmaligen Auslesen in einem näher gelegenen, performanteren Speicher zwischenzuspeichern, um Folgezugriffe schneller abwickeln zu können. Microsoft Azure stellt zu diesem Zweck zwei Mechanismen zur Verfügung: Caching Service als Möglichkeit, ungenutzte Ressourcen innerhalb der Komponenten oder auch dedizierte Instanzen als Cache zu verwenden und das Content Delivery Network, das Inhalte aus Blob Storage weltweit verteilt zwischenspeichern kann. URL: http://www.windowsazure.com/en-us/home/features/caching/ 3.4.1 Cache Service Der Cache Service stellt einen zentral nutzbaren In-Memory-Cache zur Verfügung. Im Gegensatz zum In-Role Cache, der Cloud Services vorbehalten ist, kann der Cache Service aus allen Ausführungsmodellen (Websites, Cloud Services, Virtual Machines) heraus angesprochen und genutzt werden. 3.4.2 In-Role Cache Der In-Role Cache verlagert Caching Funktionalität in die Instanzen eines Cloud Service selbst, d.h. die zur Zwischenspeicherung genutzten Speicherressourcen befinden sich in zur Anwendungsausführung genutzten VM-Instanzen (wobei hier prozentuale Ressourcenanteile für das Caching reserviert werden) oder in speziell für Caching-Zwecke eingesetzten VM-Instanzen. 4 Hive ist eine Data Warehouse Infrastruktur, die Datenaggregation und entsprechende Abfragen unterstützt. 5 Pig ist ein Framework zu Beschreibung und Ausführung paralleler Berechnungen. 2014, Microsoft Deutschland GmbH 15

Das Caching-Framework stellt sicher, dass sich die Speicherinhalte der Caching-Instanzen untereinander synchronisieren. Durch eine entsprechende Konfiguration der betreffenden Anwendung kann dieser Cache auch zur Zwischenspeicherung einer User-Session verwendet werden. URL: http://msdn.microsoft.com/en-us/library/windowsazure/hh914153 3.4.3 Content Delivery Network Das Content Delivery Network (CDN) ist ein Verbund von weltweit verteilten Microsoft Azure Rechenzentren. Im CDN können Inhalte aus Microsoft Azure Blob Storage für einen bestimmten Zeitraum gecached werden und somit eine effiziente Auslieferung von Inhalten des Blob Storage sicherstellen: Ein Anwender erhält beim Zugriff Blob Storage Inhalte aus dem für ihn nächstgelegenen Rechenzentrum zugestellt. Beim erstmaligen Zugriff eines Anwenders prüft Azure, ob die angeforderten Daten bereits im CDN-Standort verfügbar sind. Ist dies der Fall, werden die Daten von dort ausgeliefert. Sind die Daten noch nicht dort, werden sie vom Original aus Blob Storage ausgeliefert. Eine Kopie wird im CDN hinterlegt, so dass Folgeaufrufe von dort bedient werden können. URL: http://azure.microsoft.com/en-us/services/cdn/ 3.5 Datensicherung Die Speichersysteme in Microsoft Azure sind auf Hoch-verfügbarkeit ausgelegt. Redundante Speicherung und (optionale) Replikation in weitere Rechenzentren stellen sicher, dass Datenverlust praktisch nicht auftreten kann. Azure eignet sich demnach hervorragend als Backup- Medium auch für normalerweise lokal gehaltene Daten. Backup und Recovery Services erlauben die Sicherung von Serversystemen in Azure. 3.5.1 Backup Service Die Backup-Werkzeuge in Windows Server 2012, Windows Server 2012 Essentials und System Center 2012 Data Protection Manager erlauben im Zusammenspiel mit dem Microsoft Azure Backup Service die Erstellung von (inkrementelle oder volle) Sicherungen lokaler Systeme in Microsoft Azure Storage. Backups können bei Bedarf dann sehr leicht wieder in beliebige Serversysteme eingespielt werden. URL: https://www.windowsazure.com/en-us/services/backup/ 16 2014, Microsoft Deutschland GmbH

3.5.2 Recovery Services Der Hyper-V Recovery Manager ermöglicht eine koordinierte Replikation und das Recovery von Ressourcen einer Private Cloud Umgebung in einer zweiten Umgebung. Mit Hilfe von System Center 2012 Virtual Machine Manager können Private Clouds durch laufende Replikation an einen zweiten Rechenzentrumsstandort gesichert und bei Bedarf (Ausfall des ersten Standorts) aktiviert werden. URL: https://www.windowsazure.com/en-us/services/recovery-manager/ 3.6 StorSimple StorSimple stellt eine hybride Speicherlösung dar. Eine im eigenen Rechenzentrum betriebene Appliance bietet lokale Datenspeicher an. Die gespeicherten Daten werden (auf Wunsch verschlüsselt) in Microsoft Azure Storage repliziert. Durch die Sicherheitsmechanismen im Azure Storage (3-fach-Speicherung, Geo-Replikation, ) werden die Daten entsprechend sicher aufbewahrt. Die Notwendigkeit zum zusätzlichen Backup entfällt. 2014, Microsoft Deutschland GmbH 17

4 Sicherheit Azure-basierter Anwendungen Durch die Verlagerung von Daten und Anwendungslogik aus dem eigenen Rechenzentrum in die Cloud entsteht bei allen Beteiligten ein besonderes Sicherheitsbedürfnis. Die in der Cloud betriebenen Systeme müssen vor unberichtigten Zugriffen geschützt werden. Microsoft stellt über das Microsoft Azure Trust Center Informationen über Betrieb, Datenschutz, Sicherheit und Compliance der zugrundeliegenden Infrastruktur zur Verfügung, gibt Hinweise für die Erstellung sicherer, Azure-basierter Anwendungen und bietet mit Microsoft Azure Active Directory zentrale Bausteine für die Absicherung eigener Anwendungen in der Cloud. 4.1 Active Directory Microsoft Azure Active Directory ist ein Verzeichnisdienst, in dem Benutzer und deren organisatorische Zugehörigkeiten gespeichert werden können. Über den Dienst können sich Benutzer anmelden. Sie erhalten dann ein entsprechendes Security-Token, das sie dann Anwendungen übergeben können, um ihre Benutzeridentität nachzuweisen. Azure erlaubt dabei auch eine Synchronisation von Inhalten mit einem lokal betriebenen Windows Server Active Directory. Das Microsoft Azure Active Directory ist dabei primär für den Einsatz im Rahmen Cloudbasierter Anwendungen (wie z.b. Office 365) konzipiert. In Szenarien, in denen ein vollwertiges Active Directory benötigt wird (z.b. wenn ein eigenes Rechenzentrum mit Hilfe von Virtual Machines und Virtual Network in die Cloud ausgedehnt werden soll), sollte auf eine mit einem klassischen Windows Server Active Directory bestückte Virtual Machine zurückgegriffen werden. Für den Zugriff auf des Microsoft Azure Active Directory steht mit Microsoft Azure Active Directory Graph eine RESTful API zur Verfügung. Diese ermöglicht es, zu einem Benutzer die organisatorischen Zugehörigkeiten und Verbindungen zu anderen Benutzern den Social Graph auszulesen. Mit Active Directory Access Control können externe Identity Provider in eigenen Anwendungen zur Benutzerauthentifizierung genutzt werden. Dieser Service eignet sich also dann, wenn die Benutzer nicht in der Anwendung selbst (z.b. über Microsoft Azure Active Directory) gespeichert werden sollen. Für Anwender hat dies den Vorteil, dass sie sich an einer Anwendung über bereits bestehende Credentials (z.b. Windows Live ID mit zugehörigem Passwort) an der Anwendung anmelden können. Abb. 4-1 veranschaulicht den Mechanismus. 18 2014, Microsoft Deutschland GmbH

Abb. 4-1 Microsoft Azure Active Directory Access Control Die abgesicherte Anwendung etabliert (über Zertifikateaustausch) eine Vertrauensbeziehung zum Active Directory (Schritt 1). Sie bestimmt, über welche der generell unterstützten Identity Provider sich Anwender anmelden können sollen. Ein Benutzer erhält dann beim Aufruf der Anwendung die Möglichkeit zur Auswahl aus den so bestimmten Identity Providern. Nachdem sich der Benutzer erfolgreich authentifiziert hat (2), kann Access Control die vom Identity Provider ausgelieferten Profilinformationen in ein Token eines einheitlichen Formats (z.b. Simple Web Token oder SAML-Token) konvertieren (3) und dem Benutzer übergeben (4). Dieser kann dieses Token dann der Anwendung übergeben (5). Diese muss demnach nur noch Tokens des betreffenden Formats auswerten, nicht aber mit verschiedenen Identity Providern interagieren. Dies wird ihr vom Azure Active Directory abgenommen. Folgende Identity Provider werden unterstützt: Windows Live ID, Google ID, Yahoo ID, Facebook ID und Active Directory Federation Services. URL: http://www.windowsazure.com/en-us/home/features/identity/ 4.2 Multi-Factor Authentication Softwareanwendungen bei denen ein hoher Sicherheitsstandard erreicht werden soll, arbeiten bei der Authentifizierung von Benutzern häufig mit sogenannter Multi-Faktor-Authentifizierung. Dabei kommt mehr als ein Mechanismus zur Verifikation eines Benutzers zum Einsatz. Mit Hilfe von Microsoft Azure Active Authentication kann ein solcher Authentifizierungsmechanismus umgesetzt werden. Dabei kann neben einer Passwort-basierten Authentifizierung auch eine mobile App, ein Telefonanruf oder eine SMS herangezogen werden. Sobald dies für einen Benutzer konfiguriert ist, muss dieser bei seiner nächsten Anmeldung im Active Directory entsprechende Mobilfunk-Telefonnummern hinterlegen. 2014, Microsoft Deutschland GmbH 19

URL: http://technet.microsoft.com/en-us/library/dn249479.aspx 4.3 Microsoft Azure Trust Center Das Microsoft Azure Trust Center stellt eine Sammlung von Informationen über den sicheren Betrieb von Microsoft Azure sowie den darauf ausgeführten Anwendungen und gespeicherten Daten dar. Hierzu gehören Beschreibungen zu Prozessen und Standards, die Sicherheit und Datenschutz sicherstellen und entsprechenden Zertifikaten, die dies von unabhängiger Seite bestätigen. URL: http://www.windowsazure.com/en-us/support/trust-center/ 20 2014, Microsoft Deutschland GmbH

5 Anwendungsdienste zur Verwendung in eigenen Apps 5.1 Media Services Die flexible und bei Bedarf weltweite Bereitstellung digitaler Inhalte ist eine große Stärke von Microsoft Azure. Dies trägt dem Wunsch Rechnung Audio- und Videoinhalte ablegen, konvertieren und an verschiedene Endgeräte flexibel ausliefern zu können. Microsoft Azure enthält hierzu die Microsoft Azure Media Services, die derartige Aufgaben zentral übernehmen können. Zu bereitgestellten Funktionalitäten gehören: Upload von Mediendaten (die dann im Blob Storage abgelegt werden) Codierung und Konvertierung von Videos in verschiedene Video- und Audio-Formate Zugriffsschutz auf Mediendaten im Sinne von Digital Rights Management (DRM) Schaltung von Werbung in Videostreams Streaming von Videos (optimiert für verschiedene Endgeräte), bei Bedarf zeitgesteuert Wie die anderen Azure Services können auch Media Services mit Anwendungskomponenten zusammenarbeiten, die nicht notwendigerweise auch auf Microsoft Azure ausgeführt werden. Sie sind durchweg über RESTful Schnittstellen aufrufbar. Zur optimalen Auslieferung von Videoinhalten können das Microsoft Azure CDN oder Caching Services von Drittanbietern genutzt werden. Dabei ist auch eine Optimierung auf die konsumierenden Endgeräte (z.b. Windows-PC, Macintosh, HTML 5, ios, Android, Windows Phone,...) und deren jeweilige Wiedergabemöglichkeiten (Auflösung, Bildschirmgröße etc.) möglich. URL: http://www.windowsazure.com/en-us/home/scenarios/media/ 5.2 Notification Hubs Die Möglichkeit, gezielt, schnell und einfach Push Notifications an eine große Zahl von unterschiedlichen Clients verschicken zu können, stellt eine große Herausforderung in modernen, mobilen Anwendungsszenarien dar. Notification Hubs erlauben es, mit einem einzigen API- Aufruf Nachrichten an Clients unterschiedlicher Plattformen (Windows Store, Windows Phone 8, ios, Android) zu verschicken. Als Adressat können dabei einzelne User (die ggf. mehrere Geräte besitzen), Gruppen von Usern oder alle Nutzer zugehöriger Client-Apps bestimmt werden. 2014, Microsoft Deutschland GmbH 21

Damit können beispielsweise Nachrichtenportale an ihre Leser aktuelle Neuigkeiten thematisch zielgerichtet verschicken oder Event-Seiten Aktualisierungen zum Tagesverlauf verschicken. URL: http://msdn.microsoft.com/en-us/library/jj927170.aspx 5.3 Scheduler Mit dem Scheduler können Aktionen nach beliebigen Zeitplänen ausgeführt werden. So können regelbasiert http/s-endpunkte aufgerufen oder Nachrichten in eine Storage Queue eingestellt werden, worauf dann entsprechende Anwendungslogik (z.b. in einem Webservice oder in einer Cloud Service Worker Role) reagieren kann. Somit können regelmäßige oder einmalig in der Zukunft stattfindende Aktionen ausgelöst werden. URL: http://azure.microsoft.com/en-us/services/scheduler/ 5.4 Automation Automation erleichtert das Management von Azure Ressourcen bedeutend, indem es Aufgaben wie die Erstellung von Ressourcen, deren Deployment, Überwachung und Verwaltung im Rahmen einer Workflow-basierten Engine automatisieren kann. Zusammengehörige Ressourcen (z.b. ein Cloud Service mit zugehörigem Storage Account und Active Directory Setup) können über sogenannte Runbooks erstellt und verwaltet werden. Die einzelnen Ressourcen müssen damit nicht mehr einzeln und getrennt voneinander erstellt werden. URL: http://azure.microsoft.com/en-us/documentation/services/automation/ 22 2014, Microsoft Deutschland GmbH

6 Integration Azure-basierter Anwendungen in die eigene IT In vielen Software-Projekten stellt sich die Frage, wie Cloud-Ressourcen mit der lokalen IT verknüpft werden können. Weder ist es realistisch, dass die IT eines Unternehmens komplett in die Cloud wandert, noch wäre es sinnvoll, auf die Vorteile der Cloud (flexible Bereitstellung von IT, nutzungsabhängige Abrechnung, hohe Skalierbarkeit etc.) zu verzichten. Microsoft Azure stellt verschiedene Möglichkeiten zur Verfügung, Azure-basierte Ressourcen mit lokalen Ressourcen zu koppeln. Auf Anwendungsebene steht der Service Bus zur Verfügung, auf Datenebene kann SQL Azure DataSync verwendet werden und auf Netzwerkebene bieten sich mit Virtual Network eine Option, die durch den Traffic Manager um einen Routing Service ergänzt wird. 6.1 Datenintegration über SQL DataSync Der SQL Azure DataSync Service ist ein Cloud Service in SQL Azure, mit dem es möglich ist, SQL Azure Datenbanken untereinander, aber auch mit lokal betriebenen SQL Server Datenbanken zu synchronisieren. Die Synchronisation kann über eine grafische Oberfläche eingerichtet und administriert werden. Dabei können Synchronisationsfrequenz, Richtung der Datenübertragung (bidirektional, nur Upload, nur Download), Strategien für die Konfliktauflösung und die zu synchronisierenden Inhalte (Datenbanken, Tabellen, Spalten und Tabellenzeilen (gefiltert durch Feldwerte)) bestimmt werden. Abb. 6-1 skizziert die Funktionsweise. Der Datentransfer zwischen den beteiligten Datenbanken wird über einen sogenannten DataSync Hub abgewickelt. Der DataSync Hub muss eine SQL Azure Datenbank sein. Es ist nicht möglich, eine lokal betriebene Datenbank als Hub zu verwenden. 2014, Microsoft Deutschland GmbH 23

Abb. 6-1 Microsoft Azure SQL DataSync Ein Einsatzszenario für DataSync kann die Synchronisation von Daten zu Regionalbüros sein. Dabei enthält der DataSync alle Daten und Regional-Offices synchronisieren nur die Daten, die für sie spezifisch sind. URL: http://msdn.microsoft.com/en-us/library/windowsazure/hh456371.aspx 6.2 Anwendungsintegration In verteilten Anwendungen müssen die Komponenten, die miteinander interagieren wollen, auf irgendeinem Weg Nachrichten austauschen. Dieser Austausch muss je nach Art der Verteilung auch über Unternehmens- und Firewall-Grenzen hinweg erfolgen. Dies ist insbesondere in Hybrid-Szenarien ein Anwendungsfall, in denen Azure-basierte Komponenten mit Diensten in einem lokal betriebenen Rechenzentrum (welches ja in der Regel gegen Zugriffe von außen über Firewalls etc. geschützt ist) interagieren sollen. Microsoft Azure stellt Entwicklern Mechanismen zur Verfügung, mit denen sie derartige Nachrichtenaustauschszenarien umsetzen können: den Queue Service und den Service Bus. URL: http://www.windowsazure.com/en-us/home/features/messaging/ 6.2.1 Queue Service Mit dem Queue Service offeriert die Microsoft Azure Plattform einen Messaging Dienst, über den Kommunikationspartner asynchron über Nachrichtenaustausch miteinander kommunizieren können. Zugriffe erfolgen grundsätzlich über http/https. Für die wichtigsten Programmiersprachen und Technologien wie.net, Java, PHP stehen APIs zum komfortablen Zugriff auf Queues und Nachrichten zur Verfügung. Der Einsatz des Queue Service ist nicht auf den Einsatz 24 2014, Microsoft Deutschland GmbH

innerhalb einer Azure-basierten Anwendung beschränkt. Kommunikationspartner können auch außerhalb der Cloud liegen. Abb. 6-2 skizziert die Funktionsweise des Queue Service. Abb. 6-2 Microsoft Azure Queues Häufigstes Einsatzszenario für den Queue Service ist der Nachrichtenaustausch zwischen einzelnen Komponenten eines Cloud Service. Eine Frontend-Komponente (z.b. eine Web Role) nimmt Arbeitsaufträge vom Anwender entgegen, stellt diese in Form von Nachrichten in eine Queue, aus der diese dann von einem oder mehreren Backend Komponenten (z.b. Worker Role Instanzen) gelesen und verarbeitet werden. Eine derartige Anwendung lässt sich (z.b. auf Basis des Füllstands der Queue) leicht skalieren: ist die Queue häufig nur schwach gefüllt bzw. leer, kann die Zahl der Backend Komponenten ggf. reduziert werden. Ist die Queue stets stark gefüllt, können die Nachrichten durch Hinzunahme weiterer Backend Komponenten ggf. schneller verarbeitet werden. URL: http://www.windowsazure.com/en-us/develop/net/how-to-guides/queue-service/ 6.2.2 Service Bus Der Microsoft Azure Service Bus stellt eine Kommunikations- und Integrationsplattform zur Vernetzung verteilter Webservices zur Verfügung. Unabhängig davon, wo die einzelnen Kommunikationspartner (in der Cloud oder im eigenen Rechenzentrum) ausgeführt werden, können einfache und komplexe Nachrichtenströme implementiert werden. Unterstützt werden so- 2014, Microsoft Deutschland GmbH 25

wohl Punkt-zu-Punkt-Verbindungen (unidirektional und bidirektional), Queues zum Zwischenspeichern ausgetauschter Nachrichten, aber auch Publish-Subscriber-Pattern über sogenannte Topics, bei denen mehrere Sender an mehrere Empfänger Nachrichten versenden können. 6.2.2.1 Service Bus Relay Ein einfaches Interaktionsszenario ist in Abb. 6-3 zu sehen: Die Azure App, die einen lokal ausgeführten Webservice aufrufen möchte, steht vor der Herausforderung, dass der Webservice durch eine vorgeschaltete Firewall durch Zugriffe von außen geschützt ist. Mit Hilfe des Service Bus kann dennoch eine Kommunikationsbeziehung aufgebaut werden. Hierzu registriert siche der Webservie beim Service Bus (Schritt 1). Dieser richtet dem Webservice einen Endpunkt ein. Die Azure App kann nun diesen Endpunkt anstelle des Webservice aufrufen (2). Der Service Bus prüft den Aufruf und kann diesen auf der Verbindung, die zum Webservice in Schritt 1 etabliert wurde, an den Webservice weiterleiten. Abb. 6-3 Microsoft Azure Service Bus 6.2.2.2 Service Bus Queue Beim Relay ist es erforderlich, dass der registrierte Empfänger auch tatsächlich online ist, d.h Nachrichten empfangen kann. Ist er offline erhält ein Sender sofort eine Fehlermeldung. Ein Nachrichtenversand ist dann nicht möglich. Um für solche Szenarien einen Nachrichtenversand zu erlauben, können Queues definiert werden. Sender können dann in jedem Fall Nachrichten verschicken. Ein Empfänger liest diese angesamelten Nachrichten dann aus, sobald er online ist. 6.2.2.3 Service Bus Topic Im Service Bus können sogenannte Topics konfiguriert warden, die einen Endpunkt besitzen, an die Sender ihre Nachrichten schicken können. Für Topics können Subscriptions definiert werden. Für jede Subscription können Filterregeln definiert werden anhand derer bestimmt 26 2014, Microsoft Deutschland GmbH

wird, ob eine an ein Topic geschickte Nachricht in die Queue der betreffenden Subscription kopiert werden soll. Empfänger können dann Nachrichten aus den Subscription-Queues lesen. Abb. 6-4 Microsoft Azure Service Bus Topics und Subscriptions Ein Einsatzszenario hierfür ist die Anwendungsüberwachung. Anstatt Statusmeldungen in ein Logfile zu schreiben, könnten diese Meldungen als Nachricht an ein Service Bus Topic geschickt werden. Abhängig von der Meldungsart könnten dann reine Statusinformationen von einem Empfänger in ein Logfile geschrieben werden, Fehlermeldungen könnten aber in eine gesonderte Subscription gehen, wo sie vom Empfänger direkt verarbeitet werden (z.b. Versand einer SMS an einen Administrator). URL: http://msdn.microsoft.com/en-us/library/windowsazure/ee732537.aspx 6.2.3 BizTalk Services Für komplexere Integrationsszenarien, in denen über den Service Bus bestehende Backend- Systeme aus einem lokalen Rechenzentrum eingebunden werden sollen, enthält die Microsoft Azure Plattform die BizTalk Services. Hierüber können zum einen Konnektoren zur Anbindung lokaler IT-Systeme (z.b. SAP, Oracle DB, Oracle EBS, Siebel, SQL DB) zur Interaktion verwendet werden, zum anderen können die ausgetauschten Nachrichten gefiltert und in verschiedene Nachrichtenformate konvertiert werden. Dabei können nachrichtengesteuerte Workflows definiert werden. URL: http://go.microsoft.com/fwlink/?linkid=235197 2014, Microsoft Deutschland GmbH 27

6.3 Netzwerkintegration Zwei Microsoft Azure Services kontrollieren auf Netzwerkebene, wie lokale Rechenressourcen auf Azure-basierte Anwendungen zugreifen können. Für die Anwendungen selbst ist dies vollständig transparent (d.h. die Anwendungen selbst müssen hierzu nicht geändert werden). Virtual Network ermöglicht eine VPN-Verbindung zwischen lokalen und Cloud-basierten Ressourcen über Hardware- oder Software-basierte lokale Endpunkte. Der Traffic Manager erlaubt das Loadbalancing von Zugriffen auf weltweit verteilte Instanzen von Cloud Services. URL: http://www.windowsazure.com/en-us/home/features/networking/ 6.3.1 ExpressRoute Normalerweise enthält der Verbindungsweg von einem Client zu Microsoft Azure eine gewisse Wegstrecke aus dem öffentlichen Internet. Dies führt dazu, dass Zugriffszeiten auch vom übrigen Internet-Verkehr beeinflusst werden können. Um dies zu vermeiden kann mit Express- Route eine private Netzwerkverbindung von Azure Rechenzentren zu eigenen, lokalen Rechenressourcen eingerichtet werden. Dadurch können sich Durchsatz, Stabilität und Verlässlichkeit der Verbindungen zu Azure deutlich erhöht werden. URL: http://azure.microsoft.com/en-us/services/expressroute/ 6.3.2 Virtual Network Mit Virtual Network kann Microsoft Azure als Erweiterung einer lokalen Infrastruktur genutzt werden, bei der zusätzliche Ressourcen aus der Cloud flexibel temporär eingesetzt werden können. Es können Netzwerkkonfigurationen erstellt werden, bei denen lokale Rechner oder Netzwerke mit Netzwerkknoten in Microsoft Azure zu einem virtuellen Netzwerk verbunden werden. Es besteht dabei die Möglichkeit die Cloud-Ressourcen mit eigenen Ipv4-Adressen zu versehen und eigene Routing-Tabellen um diese Ressourcen zu erweitern. In Kombination mit den Virtual Machines wird es damit möglich virtuelle Maschinen zwischen dem eigenen Rechenzentrum und Microsoft Azure hin und her zu migrieren, und dies durch entsprechende Konfigurationen auf Netzwerkebene so zu begleiten, dass diese Migration für die anderen Netzwerkelemente völlig transparent geschieht. Letztlich können Anwender Azure-basierte Ressourcen so nutzen, als wären sie im eigenen Rechenzentrum. Auf lokaler Seite kann die Integration über eine dedizierte Windows-Server-Maschine erfolgen, die die Verbindung zu den Cloud-Ressourcen verwaltet. Der Einsatz beschränkt sich aber nicht nur auf Windows-Maschinen. Es kann für die Integration selbst eine dedizierte Netzwerk-Hardware verwendet werden, die von einem Netzwerk-Administrator entsprechend konfiguriert 28 2014, Microsoft Deutschland GmbH

werden muss. Damit können in den betreffenden Netzwerkknoten auch andere Betriebssysteme als Windows eingesetzt werden. URL: http://msdn.microsoft.com/en-us/library/windowsazure/jj156007.aspx 6.3.3 Traffic Manager Der Microsoft Azure Traffic Manager ist ein Service, der Requests, die an einen Azure Service gehen, auf Basis frei definierbarer Policys und Verfügbarkeiten an Service Instanzen weiterleitet, die weltweit verteilt installiert sein können. Für die Weiterleitung können drei Arten von Policys definiert werden: Leistung (Performance), Failover und Round Robin. Eine Policy erhält dabei einen DNS Namen. Requests auf diesen Namen werden vom Traffic Manager mit der IP- Adresse der nächsten verfügbaren Service Instanz beantwortet, die diese Policy erfüllt. Abb. 6-5 Microsoft Azure Traffic Manager Grundlage für die Entscheidung, an welche Instanz ein Request geleitet wird, ist also zum einen die Policy, zum anderen die Verfügbarkeit. Damit wird es möglich, die Instanzen eines Service weltweit zu verteilen, Benutzer normalerweise auf die ihnen nächstgelegene Instanz zu leiten und im Fall, dass diese Instanz ausgefallen ist, auf die zweitnächste Instanz usw. zu gehen. URL: http://msdn.microsoft.com/en-us/library/windowsazure/hh744833.aspx 2014, Microsoft Deutschland GmbH 29