Azure:SQL数据库,API管理,媒体服务,网站,基于角色的访问控制等等

  • Article

[原文发表地址] Azure: SQL Databases, API Management, Media Services, Websites, Role Based Access Control and More

[原文发表时间] 9/12/2014

本周我们发布了一系列重大的Microsoft Azure更新。更新包括:

  • SQL数据库:Azure SQL数据库服务层通用版本。
  • API管理:API管理服务通用版本。
  • 媒体服务:直播,内容保护,快速和成本有效的编码,以及媒体索引器。
  • 网站:虚拟网络集成,新的有WordPress的可扩展CMS,以及在预览门户中对网站后端的更新。
  • 基于角色的访问控制:对Azure管理操作的基于角色的访问控制预览版本。
  • 警报:Azure警报通用版本和新的警报事件。

所有的更新现在马上就可以使用了(这里说明一下,有些功能还只是预览版本)。下面将详细介绍这些功能:

SQL 数据库:Azure SQL数据库服务层通用版本

我很高兴来宣布新的Azure SQL数据库服务层的通用版本 - 基本层,标准层和高级层。Azure里的SQL数据库服务提供了一个引人注目的数据库,它作为一个服务存在,这样你便可以更快速地创建,设置并运行SQL数据库,而不需要管理或者操作虚拟机或设备。

今天的SQL数据库服务层带有99.99% 的SLA,并且数据库的大小可以达到500GB。

现在每一个SQL数据库层都保证有一致的性能水平,你可以根据你的应用程序选择 - 不必担心“吵闹的邻居”有时会影响到你的性能。

内置的时间点恢复支持为你提供在特定时间点自动重新创建数据库的能力(给你更多备份的灵活性,使你能够恢复到你不小心破坏了你的数据之前的准确点)。

内置的审计支持使你能够洞察你宿主的数据库所发生的事件和更改。

内置的在线地理复制支持,在高级层可用,允许你在Azure任意区域中创建四个可读的,中级的数据库。当在线地理复制启用的时候,我们保证所有你在主区域提交到数据库的事务都将不断复制到其他区域的数据库中:

关于在线地理复制的一个主要优点就是它使得应用程序能够在数据库层控制灾难恢复。有了跨域的冗余,你的应用程序就能够在灾难事件中恢复(例如自然灾难等)。新的在线地理复制支持使你能够启动/控制任何故障转移 - 允许你将主要的数据库转移到任何其他次要的区域中:

这样将提供一个健壮的业务连续性,也使你能够自信地在云中运行关键解决方案。

更多灵活的定价

SQL数据库现在的收费是以小时为基础的 - 允许你快速创建和拆除数据库,利用更有效的成本动态扩大或缩小数据库。

基本层数据库支持的数据库大小为2GB,使用一整个月的费用是$4.99。标准层数据库支持250GB大小的数据库,现在开始售价是每个月$15(还有更高性能标准层的售价是30$每月和75$每月)。高级层数据库支持500GB大小的数据库,同时还支持在线地理复制功能,现在的售价是每个月465$。

下面提供了一个快速浏览不同层次和功能的表:

这一页提供了更多关于如何在以上每个层考虑DTU性能的细节,并提供了关于以上每个服务层所支持的基准细节和性能水平。

在预览版中,我们从一些ISV那儿听到:,很多数据库都有变量的性能需求,他们需要灵活的跨多数据库共享DTU性能资源,而不是单独管理数据库层。比如,一些SaaS ISV可能会为每个客户建立一个独立的SQL数据库,而且每个数据库的活动不同,他们想用一个跨客户数据库的定义预算来管理资源池。我们正在努力使这个场景在未来的服务更新中出现在新的服务层。如果你是一个有类似场景需求的ISV,请点击这里了解更多关于这方面的信息。

这里了解更多关于Azure SQl数据库的信息。

API管理服务:通用版本

我很激动地宣布发布Azure API管理服务的通用版本。

在我的上一篇博客中,我讨论过API管理使客户能够安全地将API发布给开发者,并加速同伴的使用。这些API不仅可以用于移动和客户端应用程序(在任何设备上),也可以用于基于云和服务的应用程序。

API管理服务支持使你可以使用任何你已经具有的API(不管是云上的还是本地的)或者将它们发布给其他人使用。API管理服务使您能够:

  • 节流,速率控制和配额你的API
  • 分析洞察你的API是如何被使用的以及被谁使用的
  • 通过OAuth或者基于密钥的访问来确保你的API的安全性
  • 跟踪API的健康并快速识别错误
  • 方便为你的API显示开发者门户,给想要使用你的API的开发者提供文档和测试经验

今天的通用版本为标准层服务提供了一个正式的SLA。我们还有一个开发者层的服务,你也可以使用,每个月只要49$.

开发者门户的OAuth支持

API管理服务提供了一个开发者控制台,为想要使用你的API的开发者提供一个很好的入职培训和交互式学习体验。开发者控制台使你能够很容易地展示文档,也能让开发人员实验/测试你的API。

在本周的通用版中,我们还加了允许API出版商注册用于控制台的OAuth授权服务器支持,从而允许开发者在和你的API交互的时候用自己的登录凭证进行登录 - 对于任何API都有一个关键特性就是支持OAuth。支持所有的规范授权授予类型都加上范围和默认范围。

更多关于如何在API管理中启用OAuth2支持,并集成在开发者门户的信息,请查看本教程

点击这里学习更多关于API管理服务,并免费试用。

媒体服务:直播,DRM,快速和成本有效的编码以及媒体索引器

本周我们很兴奋地宣布发布Azure媒体服务的直播和内容保护支持公开预览版。

在公共预览版中,相当规模的网络媒体流解决方案对所有的Azure用户都可用了,它将领先国际广播电台为数以千万计的客户直播2014年冬季奥运会和2014年世界杯。这就意味着现在你可以使用和直播奥运会和世界杯相同级别的可伸缩性,正常运行时间和可靠性来直播任何大小的事件。

DRM内容保护

本周的Azure媒体服务还引进了一个新的内容保护服务, 静态和动态的功能都是与甲方PlayReady许可证交付和一个AES 128位密钥交付服务加密的。这就使得DRM更加容易保护你直播的或者预先录制好的视频,也使得用户更加方便地在任何设备和平台(Windows,Mac,iOS,安卓以及其他)上观看。

快速和成本有效的媒体编码

本周,我们还引入了更快的媒体编码速度和更具成本效益的账单。我们增强Azure媒体编码器是专为高端媒体编码和基于输出GB收费的。我们前面的编码器是基于输入和输出GB收费的,所以现在转为输出计费,这将对我们所有的客户大幅降价。

为帮助你进一步优化你的编码工作流,我们引入了基本层,标准层和高级层编码预留单元,这将给你更多的灵活性,允许你根据你的支付来定制你的特定的工作流所需要的编码能力。

媒体索引

另外,我很高兴的宣布发布Azure媒体索引器的通用版本,这是一个强大的,市场差异化的内容提取服务可用来增强音频和视频文件的搜索。有了媒体索引器,你可以自动分析你的媒体文件并检索出其中的音频和视频内容。你可以到这里学习更多关于媒体索引器的知识。

更多媒体合作伙伴

我也很高兴地宣布本周添加了几个媒体工作流的合作伙伴和客户端玩家到我们现有的大量媒体合作伙伴:

  • Azure媒体服务和流媒体直播现在已完全集成在一起了,包括一个内置的目的地,使得从流媒体直播生产软件发送内容到Azure变得更快速方便。
  • 同样,Newtek’s Tricaster也被集成到Azure平台了,使客户能够将高产值的Tricaster和Azure媒体服务的可伸缩性和可靠性结合。
  •  Cires21和Azure媒体配对将更方便简单的帮助监控你的直播频道的健康性,广泛使用的JW播放器现在也完全和Azure集成到一起了,使你能够更快速的在所有平台上构建视频回放体验。

了解更多

访问Azure媒体服务网站以了解更多信息并免费开始体验。

网站:虚拟网络集成,新的有WordPress的可扩展的CMS

本周我们还发布了大量的更新到Azure网站服务。

虚拟网络集成

从这周开始你就可以将你的Azure网站集成到Azure虚拟网络。这一支持允许你的网站访问你附加在虚拟网络中的资源。例如,这就意味着现在你可以将一个网站直接连接到宿主在虚拟网络上一个非公开的虚拟机中的数据库上。如果你的虚拟网络连接了你的本地网络(用一个站点到站点软件VPN或者ExpressRoute专用光纤VPN),那么你的网站也可以连接到你本地网络中的资源。

新的虚拟网络支持允许TCP和UDP协议,将你的VNET DNS连接。混合连接和虚拟网络是兼容的,这样你就可以在同一个网站中混合使用了。为网站所做的新的虚拟网络支持将在本周发布预览版。标准的web托管计划可以启用5个虚拟网络。一个网站一次只能连接到一个虚拟网络,但是对于虚拟网络可连接的网站数目是没有限制的。

你可以通过新的预览Azure门户(https://portal.azure.com)配置一个网站去使用虚拟网络。在你的网站中点击“虚拟网络”将弹出一个虚拟网络的页面,你可以用来创建一个新的虚拟网络或者附加到一个已有的虚拟网络:

请注意Azure网站要求你的虚拟网络有一个配置的网关并且启用端到站。直到你启用它否则它在UI上将一直保持灰色。

带有WordPress的可扩展CMS

本周我们还发布了支持一个运行在Azure网站上带有WordPress的可扩展的CMS解决方案。带有WordPress的可伸缩CMS提供最快的方式来构建一个优化的,毫无麻烦的WordPress网站。它是结构化的,所以你的WordPress站点加载快,可以支持每月数百万的页面浏览,当你的流量增加的时候,你可以很容易地进行增加或扩展。

预配置使用Azure存储,可用来存储你的站点媒体库内容,也可以很容易的配置去使用Azure CDN。每个可伸缩的CMS站点都带有自动扩展,临时发布,SSL,定制域,Webjobs,备份和Azure网站启用的恢复功能。可扩展WordPress允许你使用Jetpack来超负荷你的WordPress站点,使WordPress.com用户有强大的功能可用。

现在你可以很方便地通过集成在新的Azure预览门户(https://portal.azure.com)中的Azure Gallery为Azure部署带有WordPress解决方案的可扩展的CMS。当你在门户中选择它的时候,它将会带你自动在Azure上建立并部署一个完整的解决方案:

可扩展的WordPress对Web开发者来说是理想的,创造性的机构,商业和企业想要一个全包解决方案,将以最大化性能在Azure网站上运行WordPress。WordPress宿主在Azure网站中是快速,简单并且安全的。

网站备份的更新

本周我们也为我们内置在Azure网站中的备份功能更新了很多好的加强。从今天开始,你可以:

· 选择备份的具体地址,包括你希望存储备份的特定的存储账户和Blob容器。

· 在网站的连接字符串中声明选择备份到SQL数据库或者MySQL数据库

· 在恢复方面,现在你既可以恢复到一个新的站点,也可以恢复一个部署站点。这使得你可以在你的备份生效之前进行验证。

这些新功能比以往任何时候都更容易获取你的网站的完整历史和相关数据。

安全:Azure的基于角色的访问控制管理

随着组织将越来越多的工作负载转移到Azure,一个最迫切需要的功能就是有能力控制不同的员工访问不同的云资源以及他们可以对这些资源执行哪些操作。

今天,我很高兴地宣布发布Azure平台中基于角色的访问控制支持(RBAC)预览版。现在RBAC在Azure预览门户中可用了,可用于控制门户或者Azure资源管理者API的访问。你可以在Azure资源用这个支持给他们分配角色来限制用户和组的访问。亮点包括:

  • 订阅不再是Azure访问管理的界限了。在四月份,我们引入了资源组,就是一个聚合共享生命周期的资源的容器。现在你可以授予用户访问资源组就像访问个人资源一样如特定的网站或者虚拟机。
  • 现在你可以授予访问两个用户组。RBAC是基于Azure活动目录的,所以如果你的组织已经开始在Azure活动目录或Windows Server活动目录中使用分组进行访问管理,那么你也可以用这种方式来管理Azure访问。

下面是一些关于该功能如何工作和如何启用的细节。

Azure活动目录

Azure活动目录是我们在云上的目录服务。你可以在Azure活动目录中创建组织租户,并且在里面定义用户和组 - 无需有任何预装的已有活动目录。

或者,你也可以将用户和组从现有预置的活动目录同步(或者联合)到Azure活动目录,并且能保证现有的用户和组自动可以通过Azure,Office365和2000多个其他基于SaaS的应用程序在云中使用:

所有访问你的Azure订阅的用户,将会显示在该订阅关联的Azure活动目录中。这将允许你管理他们可以做什么,也可以通过在目录中禁用他们的账户来撤销他们对所有Azure订阅的访问。

角色权限

在第一个预览版中我们预先定义了三个内置的Azure角色,给你一个关于授予限制访问的选择:

  • 拥有者可以执行一个资源及其子资源的所有管理操作包括访问管理。
  • 参与者可以执行一个资源的所有管理操作包括创建和删除资源。贡献者不能给其他人授予访问权限。
  • 读者只有对资源及其子资源的读访问权限。读者不能阅读秘密资源。

在RBAC模型中,被配置为Azure订阅的服务管理员和辅助管理员的用户就相当于对这个订阅有拥有者角色。他们对当前和预览管理门户的访问保持不变。

你之后分配给新的RBAC角色的其余用户和组,都只有他们的权限,同时也只能通过新的Azure预览门户和Azure资源管理器API来管理Azure资源。现有的Azure管理门户或者通过旧的管理API都不支持RBAC(因为他们都不是根据基于角色安全内置的概念构建的)。

根据基于角色的权限限制访问

我们假设你的团队使用Azure来开发,以及宿主应用程序的生产实例。这样做时,你可能想用资源组从生产资源中将用于开发和测试的资源分开。

你可能想让你团队中的每个人都只能查看关于你的Azure订阅中的所有资源的视图 - 包括阅读和审查生产分析数据的能力。你也可能只想让特定的用户有对生产资源的写/贡献者访问权限。让我们看看如何设置这个:

第一步:设置订阅级别的角色

首先我们要将一些用户映射到订阅级别的角色。之后这些将默认被我们所有Azure订阅中的资源和资源组继承。

开始设置,在Azure预览门户((https://portal.azure.com)中打开计费页,选择你想要为其设置角色的Azure订阅:

然后下拉你所打开的订阅页面,指定里面的角色:

点击角色的标题将弹出一个页面,列出所有我们默认提供的预定义的角色(拥有者,贡献者,读者)。你可以点击任何一个角色,将弹出一个列表显示所有分配了该角色的用户。点击添加按钮,你就可以搜索你的Azure活动目录并将一个用户或者组加入那个角色。

下面我打开默认读者角色并将David和Fred加进去:

一旦我们这样做了,David和Fred就可以登录到Azure预览门户,并对我们所有订阅里的资源具有读访问权限。但是他们不能做任何的更改,也不能查看秘密的东西(像密码等等)。

请注意除了从目录中添加用户和组,你也可以用上面的邀请按钮来邀请目前还不是你的目录的一部分但是有微软账户(scott@outlook.com)的用户映射到一个角色。

第二步:设置资源级别的角色

一旦你在订阅级别定义了默认的角色映射,他们将默认应用到该订阅所有的资源和资源组。

如果你希望你的权限范围更进一步到一个单独的资源(例如,虚拟机或者网站或者数据库)或者资源组级别(如整个应用程序和里面所有的资源),你也可以打开单独的资源/资源组页面,使用里面的角色页面更进一步指定权限。

例如,前面我们授予David读者角色访问Azure订阅中的所有资源。现在让我们授予他参与者角色来访问订阅中一个单独的虚拟机。一旦我们这样做了,他就可以停止/启动这个虚拟机,以及对其进行更改。

要启用此功能,我打开了如下的VM页面。然后下拉页面找到该虚拟机中的角色页。在里面点击参与者角色,将打开一个页面让你设置将成为参与者的用户(意味着他将有这个特定的虚拟机的读和更改权限)。注意下面是我如何将David加入到这个角色的:

使用这个资源/资源组级别的方法使你可以对你的资源进行真正细粒度的访问控制权限。

基于Azure角色访问控制的命令行和API访问

你通过RBAC所配置的访问政策是通过Azure资源管理器API执行的。Azure预览门户和我们发布的命令行工具都是使用资源管理器API来执行管理操作的。这样能够保证所有访问都是一贯落实的,而不管用什么工具来管理Azure资源。

在本周的发布中我们还包含了一系列新的Powershell API,这样你就可以自动建立并控制基于角色的访问。

了解更多关于基于角色的访问

今天的基于角色的访问控制预览版提供了更多的灵活性关于如何管理你的Azure资源的安全。并且因为它集成在Azure活动目录中,所以你可以轻松地将它与在预置环境中已有的活动目录配置同步/联盟。

要开始新的Azure的基于角色的访问控制就像把合适的用户和组分配到你的Azure订阅或者个别资源这样简单。你可以在这里阅读更多详细的关于RBAC内容和功能的信息。你在预览阶段的反馈对于以后所有的改进和新功能都是非常关键的,所以请尝试新的功能并给我们提供你的反馈

警报:Azure警报通用版和新的警报事件支持

我很高兴地宣布发布Azure警报通用版。Azure警报支持创建你想要的警报阀值的功能,然后当到达阀值时Azure会自动发送一封通知邮件。作为通用版本发布的一部分,我们删除了每个订阅10个警报规则的限制。

通过单击左边导航栏的管理服务,就可以在完整的Azure门户使用警报了:

同时,警报也可以在Azure预览门户中的大部分资源中使用:

现在你可以从8个不同服务创建警报阀值(我们还在增加更多):

  • 云服务
  • 虚拟机
  • 网站
  • 网页宿主计划
  • 存储账户
  • SQL数据库
  • 高速缓存
  • 文档DB账户

除了警报指标通用版外,我们还预览了在操作事件上创建警报的能力。这就意味着如果有人停止了你的网站,你的虚拟机被删除了,或者你的Azure资源管理器模板部署失败了,你都将收到一封邮件。像警报指标一样,你可以将这些警报指向服务和共同管理者或者你提供的用户邮箱地址。你可以在Azure预览门户将这些事件配置到一个资源。我们已经在门户的网站中启用了 - 在未来我们将扩展到所有的资源。

总结

今天的Microsoft Azure发布包含了很多重大的新场景, 使得构建在云中宿主的应用程序变得更加容易。

如果您还没有一个Azure 账户,你可以登录免费试用,并开始使用上面讲述的所有功能。之后你可以访问Microsoft Azure开发人员中心,以了解更多有关如何用Microsoft Azure构建应用程序的说明。

希望这些能够帮助到你

Scott