Windows Azure功能更新：Active Directory服务，Windows/VM备份，网站日志实时监控

5ik3dzf85t

　　昨天Windows Azure发布了几个新的更新，这里总结下几个有用的：
　　

　　1. Windows Azure Active Directory (WAAD)

　　首先，大家所熟悉的Windows server上的Active directory功能，现在有了云化的版本。该服务和之前的Azure ACS(Access Control Service)权限控制服务共同组成了新的Azure安全框架。这两个服务都是免费的！

　　

　　WAAD简单来说就是一个运行在Azure上的用户目录服务，它是Office 365，Dynamic CRM Online等微软SaaS应用所使用的目录服务，目前已有2900万用户。该服务已存在很久，只不过今天它成为独立的一项服务对外提供出来，为Azure的用户和微软之外的应用提供认证服务，是一种第三方认证。大家可能了解过第三方认证，在国内，很多网站都可以支持使用百度/QQ/新浪微博等账号登录，从现在开始，这些网站也可以使用WAAD进行用户认证。而WAAD相比已有互联网目录服务的主要区别，是其对企业应用场景的支持。WAAD可以利用企业已有的AD进行认证，企业管理员也可以管理WAAD上面的所有用户信息，进行增删改查，并设置密码。因此，WAAD是结合了传统企业AD认证和目前流行的Web第三方认证两种场景。

　　

　　WAAD与传统的AD不太相同，其主要区别在于：

• 不需要安装，每个Azure用户可以创建一个自己的WAAD租户，这些WAAD租户都由Windows Azure统一运行管理
  
• 主要面向Web应用提供认证，不支持传统的AD域认证，其认证协议包括SAML, OData 和WS-Federation等
  
• 具有极高的可用性。统计数据显示，在最近的3个月内，该服务的可用性达到99.97%
  
• 具有极高的处理能力。每天处理近1亿的认证请求
  

　　因此，传统使用AD认证服务器的应用并不能直接切换为WAAD。WAAD面向的是现有企业的新型应用。
　　

　　WAAD服务的主要功能包括：

• 托管用户认证信息，为应用提供用户认证服务。Azure用户可以在Azure界面上管理WAAD用户(增删改查)
  
• 支持对多个应用进行单点登录验证。云化的认证服务的一个显然优势就是可以实现单点登录。由于多个应用都可连接WAAD进行认证，这些认证信息可以在浏览器中保存，当用户访问其他应用时就无需再次验证。
  
• 支持与已有AD服务器集成。如果用户已有AD服务并且希望利用已有的用户信息，那么WAAD支持两种方式与现有AD集成，一种是复制，一种是联合。复制是在云端将AD上的用户信息导，也可以反向复制。而联合则是不进行复制，而是把认证请求转发给已有的AD服务器，这样避免了潜在的复制冲突和安全风险
  
• 支持双因素认证。除了使用密码，认证时用户还需提供短信码或者应答电话
  
• Azure管理界面可以利用用户自己的WAAD库进行认证。比如一个软件开发企业(比如www.abc.com)的管理员首先注册了WAAD服务并与自己企业的AD服务器进行了集成，他希望自己企业的员工使用Azure服务，但又不希望他们用自己的Live账号登录，此时他可以要求公司员工都用公司已有账号访问Azure。员工登录Azure门户时，使用manage.windowsazure.com/www.abc.com这个地址，这样就会跳转到该企业已有的AD上进行认证，认证成功后即可进入企业的Azure订阅。这样的好处是，一旦员工离职，用户信息从企业AD服务器上消失后，他就无法登录企业的Azure订阅，无需管理员手动维护。
  

　　

　　2. Windows/HyperV备份至Azure
　　云存储的一个主要应用场景是备份。现在，Azure云备份功能终于正式公布了。
　　对于Windows Server（Windows Server 2008 R2 SP1 and Windows Server 2012,Windows Server 2012 Essentials），在安装一个Agent后，就可以将server中的文件备份到WindowsAzure的存储账号上。
　　对于Hyperv，使用System Center Data Protection Manager 2012 SP1 可以实现将虚拟机实时异步复制到WindowsAzure的存储账户上。针对HyperV的用户来说是一个重大利好，因为该功能让所有的Windows Server (2008以后)用户天然就具备了异地云容灾的能力。这种备份不仅仅是存储数据，而且一旦生产站点发生灾难，用户可以立即在Windows Azure上启动该备份的VM镜像，实现无缝的灾难切换。
　　

　　3.网站日志实时监控
　　Azure上的网站服务可以产生日志文件。用户可以通过FTP下载日志。现在，网站服务支持将日志实时传输到客户端，通过tail的形式展现。这对于代码调试来说是一个利器。这样远程的一个网站跟本地服务器已经基本没有区别。开发者可以通过各种工具（ftp，web deploy)上传代码，然后通过Azure客户端工具实时查看日志输入。

　　

　　完整的更新内容，可以查阅http://weblogs.asp.net/scottgu/archive/2013/04/08/windows-azure-active-directory-general-availability-new-backup-service-web-site-monitoring-and-diagnostic-improvements.aspx