 |
|||||||
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||||||
|
Microsoftの戦略的クラウド「Azure(アジュール)」を見る【第三回】 |
||||||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||||||
|
サービスバスを実現する.NET Services
|
||||||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||||||
■ サービスバス
そこで、サービスバスでは、Azureが特定のサービスに関する固定的な情報をスタティックに保持するのではなく、オンプレミスのサーバーがAzureに接続してきたとき、毎回サービスを公開する情報をAzureに登録するようなダイナミックなシステムを採用している。 まず、オンプレミスのサーバーがAzureに接続しない限り、サービスは登録されない。このため、ファイアウォールで問題になるインバウンドポートの公開を行わなくてもいい。つまり、オンプレミスのサーバーからアウトバウンドでAzureに接続して、そのセッションを使って通信を行うようになっている。また、NATなどでIPアドレスがプライベートアドレスになっているサーバーにも、アウトバウンドの通信でセッションを使うため、グローバルIPアドレスが個々に付与されていなくてもAzureとの通信が行える。
特に、メッセージングはWindows VistaやWindows Server 2008から正式に搭載されたWindows Communication Foundation(WCF)が利用されている。WCFを利用するには、.NET ServicesのSDKを利用するのが簡単だが、JavaやRuby用のSDKも公開されている。 サービスバスでは、Azureを経由した接続形態だけでなく、クライアントとサービス側でサポートしているなら、Azureを経由せず、直接クライアントとサービスを接続して、動作する仕組みも用意されている。
■ アクセスコントロールサービス
アクセスコントロールサービス自体では、アクセス権限の発行は行わない。このため、Live IDやActive Directoryなど、さまざまなID認証システムと連携するようにできている。つまり、一度ID認証システムでアクセス権限が確認されれば、各サービスにアクセスするときにクレームを使うことで、各サービスでいちいち認証確認を取らなくても、アクセスできるような信頼関係に基づいたシステムになっている。 例えば、セキュリティがかかっているサービスにクライアントがアクセスする場合、まずサービス(Relying Parties:RP)側から、自分が必要とするセキュリティトークンの内容をクライアントに要求する。具体的には、利用できるユーザーIDの種類、ユーザー名、会社名など、さまざまな情報がある。 RPからのリクエストを受信したクライアントは、クレームをアクセスコントロールサービスアカウントに送信する。クレームには、ユーザーに関する情報が入っている。例えば、ユーザーID、会社情報、役職、所属といったものが入っている場合もある。もちろん、これらの中の一部だけでもOKだ。さらに、Windows VistaやWindows Server 2008に搭載されているID管理システムのカードスペースをクレームとして利用することもできる。 クライアントからのクレームを受信したアクセスコントロールでは、自分が持っているルールにしたがって、セキュリティトークンを作成し、クライアントに返信する。その後、クライアントは、アクセスしたいサービスにセキュリティトークン付きのメッセージを送信して、無事アクセス可能となる。 このような仕組みにより、公開されている個々のサービスには、アクセス権限の管理の仕組みは必要ない。サービスは、どのアカウントコントロールと信頼しているかだけが明示されていれば、実際のユーザー管理は、Live IDやActive Directoryなどのユーザー管理システムに任せられる。このような仕組みは、Active Directoryの信頼関係と少し似ている。
また、Genevaを利用することで、Azureでは、Live IDやActive Directory以外にも、Open IDなど、さまざまなID認証システムを使用することができる。さらに、オンプレミスにあるActive DirectoryサーバーにMicrosoft Service Connectorをインストールすることで、オンプレミスのActive DirectoryをAzureの認証システムとして使用することができる。
■ ワークフローサービス
ワークフローサービスは、Windows VistaやWindows Server 2008で採用されたWorkFlow Foundationがベースとなっている。 開発者は、Visual StudioのWFデザイナーを使って、フローチャートを作成し、そのデータをルールXAMLとして出力する。Azureでは、ルールXAMLを受け取って、Azure上のサービスをワークフローにしたがって動作させる。 ちなみに、Azureでは、Windows 7やWindows Server 2008 R2で採用されるWorkflow Foundation 4.0(Windows VistaやWindows Server 2008はWorkflow Foundation 3.5)を使用している。Workflow Foundation 3.5は、逐次処理をステートマシンで実装していたため、ネスト関連などに制限があった。しかし、Workflow Foundation 4.0では、フローチャートで実装がされているために、制限が取り払われている。これ以外にも、実行ロジックの高速化など、いろいろな部分でWorkflow Foundation 3.5の問題点が解消されている。 Microsoftでは、Workflow FoundationやWCFの実行を管理するためのサーバーシステムのDublin(ダブリン:開発コード名)を開発している。Dublinは、実体としては、IIS/WASをベースにしたアプリケーションサーバーだ(リリース時期は、Visual Studio 2010リリース直後)。 また、ワークフローベースのサービス構築が容易にできるように、モデル駆動型の開発ソリューションとなるOslo(オスロ:開発コード名)の開発も進めている。Osloは、新しいモデリング言語「M」を使うことで、今までのプログラミング言語とはまったく違う開発ソリューションを提供する。
■ 関連記事 ・ Microsoftの戦略的クラウド「Azure(アジュール)」を見る【第一回】(2009/03/23) ・ Microsoftの戦略的クラウド「Azure(アジュール)」を見る【第二回】(2009/03/24) ・ Microsoftの戦略的クラウド「Azure(アジュール)」を見る【第四回】(2009/03/26) ・ Microsoftの戦略的クラウド「Azure(アジュール)」を見る【最終回】(2009/03/27)
( 山本 雅史 )
|
