Windows Azure: 新虚拟机、活动目录、多因素验证、存储、Web Site和支付限制服务的改进
[原文发表时间]: 2013/9/26
这周,我们发布了对Windows Azure的一些伟大的更新。这些新功能包括:
- 计算:新的双核CPU 14GB RAM实例选项
- 虚拟机:支持Oracle软件镜像及对已停止的虚拟机的管理操作
- 活动目录:更强大的目录管理以及支持多因素验证的通用性
- 开支限额:重置开支限额,MSDN订阅停止时虚拟机不再被删除
- 存储:新存储客户端库2.1发布
- Web Sites:现在支持的IP地址和域名限制
现在,所有这些改进都可以立即使用。下面是关于他们的详细信息。
计算:新的双CPU核14GB RAM实例
这个星期,我们在Windows Azure上发布了一个新的内存密集型实例。这个新的实例,叫做A5,有两个CPU核心和14千兆字节(GB)的RAM,可以用于虚拟机(Windows和Linux)和云服务:
您可以立即开始使用这种新的A5计算选项。进入Windows Azure网站,详细定价信息下的云服务和虚拟机的部分中可以找到其他定价信息。
虚拟机:支持Oracle软件
今夏早些的时候,我们宣布了微软和Oracle的战略合作伙伴关系,我们将在Windows Azure虚拟机上启用对Oracle软件运行的支持。
从今天开始,你现在可以部署预配置Oracle软件许可证的虚拟机映像,它可以在Windows中运行Oracle数据库、Oracle WebLogic Server和Java SE平台的各种组合。这些部署了Oracle软件的镜像使你可以快速配置成本效益的云环境来用于开发、测试和部署,并且可以轻松扩展企业应用。现在,这些镜像可以轻松地在Windows Azure管理门户的“创建虚拟机”向导标准中选择到:
在预览期间,这些镜像在提供标准的Windows服务器VM率之上不收取额外费用。预览期结束后,这些含Oracle的镜像将基于每月虚拟机运行总分钟数收取费用。随着Oracle许可的流动性,已获得Oracle软件证书的Oracle客户,他们仍可在Windows Azure上自由部署Oracle软件。
了解更多有关在Windows Azure上使用Oracle镜像,请访问windowsazure.com/oracle或阅读关于Oracle镜像的相关技术文档。
虚拟机:已停止VM上的管理操作
自本周发布更新起,现在可以对已停止/取消分配的虚拟机执行管理操作。之前,一个虚拟机必须在运行中才能进行操作,比如更改虚拟机的大小、附加和分离磁盘、端点配置和负载平衡器以及可用性设置。现在对于已停止虚拟机也可以做这些,无需启动他们:
Active Directory :创建和管理多个活动目录
自本周发布更新起,现在可以在单一的Windows Azure订阅中创建和管理多个Windows Azure活动目录(以前只支持有一个目录,并且一旦被创建,你就不能删除它)。无论是开发/测试场景还是你想有单独目录的租户或与不同的域进行同步的情况下,这都是非常有用的。
创建新的活动目录
现在创建新的活动目录非常简单。只要在管理门户中选择 新建- 〉应用服务- 〉活动目录- 〉目录 :
当系统提示配置目录名、默认域名(以后可以更改成任何你想要的自定义域- 例如yourcompanyname.com),以及使用的国家或地区:
你马上拥有了可免费使用的Windows Azure创建的新的活动目录:
您完全可以在云中运行并管理您的Windows Azure活动目录,或使用本地Active Directory部署进行同步 - 它可以自动同步您的本地用户到云中的Active Directory。后一种选择是非常强大的,它确保任何时候你添加或删除您的本地目录中的用户都会自动反映在云中。
您可以使用Windows Azure活动目录来管理访问运行或托管在云中的自定义应用程序的身份验证(这是VS2013发布时ASP.NET中新支持的,它使得在Windows Azure上构建这些SSO应用程序很容易)。您还可以使用Windows Azure活动目录安全地管理访问基于云的应用程序的身份验证,如Office365、SalesForce.com和其他流行的SaaS解决方案。
其他新功能
除了有能力在单个Windows Azure订阅中创建多个目录,本周的版本还在Windows Azure 活动目录管理体验上增加了一些额外的可用性增强功能:
- 随着本周发布,我们可以在目录创建后改变它的名字(以前它只能在创建时)。
- 作为一个目录管理员,你现在可以从另一个你所在的目录中添加用户到这里。这是非常有用的,例如,当你的生产目录中的其他成员需要协作一个正在非生产环境下开发或测试的应用程序。一个用户可以加入的目录可高达20个。
- 如果您使用Microsoft帐户来访问Windows Azure,但使用不同的组织帐户来管理另一个目录,你就会发现用您的Microsoft帐户来管理第二个目录很方便。在这个版本中,我们已经使配置Microsoft帐户来管理现有的活动目录变得更简单。现在,您可以配置,即使Microsoft帐户已管理了一个目录,或甚者其他目录的管理员帐户并没有在Windows Azure订阅。这是一个普遍的情况,在注册Office 365或其他Microsoft服务过程中创建其他目录的管理员帐户。
- 在此发布中,我们还使开发人员能够删除那些已经加入到他们的Windows Azure AD中的单个用户应用程序。要删除一个应用程序,打开添加应用程序的目录,点击“应用程序”选项卡,并单击命令栏上“删除“。只有当”配置“选项卡上外部访问被设置为“关闭时,一个应用程序才可以被删除。
一如往常,如果关于新的Azure AD的体验里,有你认为是伟大的,或者是会让你发疯的,请张贴在我们TechNe的论坛上让我们知道。
活动目录:支持多因素验证的通用性
随着这周的发布,我们非常高兴能够推出一个伟大新服务的通用性:Windows Azure的多因素验证(MFA)服务。 Windows Azure的多因素验证是一个管理类服务,它使安全地管理用户变得很简单,如访问Windows Azure、Office 365、Intune、动态CRM和其他支持Windows Azure活动目录的任何第三方云服务。您也可以使用它安全地控制自己在云中开发和托管的自定义应用程序访问。
Windows Azure的多因素验证,也可用于本地情况下。您可以为Windows Server 活动目录选择下载新的多因素身份验证服务器,并用它来保护本地部署的应用。
开始使用
要启用多因素身份验证,登录到Windows Azure管理门户,选择新建 - >应用服务 - > 活动目录->多因素认证供应商,并选择“快速创建”选项。当您创建服务时,您可以将它指向您的Windows Azure活动目录并选择一种计费模型(按用户付费或按认证付费):
一旦创建完成,Windows Azure多因素验证服务就会出现在活动目录展开的“多因素验证服务提供者”里面:
然后,您可以通过进入活动目录的“用户”选项卡,单击“管理多因素验证”按钮,对你的目录中哪个用户拥有多因素身份验证进行管理:
一旦你的目录中的某个用户启用了多因素认证,他将能够使用多种二次认证技术,当他登录到一个应用程序或服务时,通过移动应用程序、电话或短信,来提供额外的验证。 Windows Azure的多因素验证服务会自动为您处理管理和跟踪这些的。
了解更多
Windows Azure多因素验证上的六分钟视频可以让你了解更多关于今天发布的内容。
这里有一些其他的视频和教程会让你了解更多:
- 为Windows Azure活动目录和Office365开启多重因素验证- 查看视频
- 为本地应用添加多重因素验证- 查看视频
- 在应用中创建多重因素验证 – 查看视频
- Alex和Steve的博客帖子Building Multi-Factor Authentication to Your Applications using the SDK
快使用多因素验证创建更安全的的系统和应用吧!并且请通过MAF论坛提交你的反馈和功能需求。
计费方式:重置您的MSDN订阅开支限额
当你作为MSDN的客户注册了Windows Azure,你会自动获得一个为您创建的超优惠价格的MSDN订阅和免费“MSDN积分”(高达$150每月),这些积分可以用于Windows Azure上任何资源的使用。详细内容可以在我上周的博客里看到。
默认情况下,在Windows Azure创建MSDN订阅时会设置一个“消费上限”,这保证了如果你用完了所有的MSDN积分而不必付费。这是因为当你的积分用光后,订阅将自动暂停(确保您的帐单不会超过$0)。
如果你想使用超出免费积分额度的资源信息,并愿意为超额部分付费,您可以选择删除消费限额。然而,在这周之前,一旦消费限额被删除,下一个计费周期将没有办法重新恢复它。
开始使用本周的发布吧:
- 仅对当前的计费周期删除消费限额(你知道这是一次性的)
- 无限期地删除消费限额,如果你希望将来继续有高的使用额
- 如果你已经关闭了消费限制,在下一个计费周期中可以重新启用该服务
要启用或重置您的消费限额,在Windows Azure管理门户的顶部点击“订阅”按钮,然后单击“管理您的订阅”链接:
就会跳转到Windows Azure订阅管理页面(其中列出了你所有激活了的Windows Azure订阅)。点击MSDN订阅查看您帐户的详情 -包括使用数据,你已使用多少次服务:
从上图可以看到我个人的MSDN订阅的使用数据。最近,我有很大的通信量,已经用完了本月的$150积分并有23.64美元超支。因为我已经关闭了我的消费限制,所以我可以使用账单超过$0的MSDN订阅。(可以在上图的红色区域显示的文本中看到,我已关闭了消费限制)。
如果我想下一个计费周期重新使用消费限制(10月3日开始),我可以这样做,通过点击“点击此处更改消费限额选项”链接。这将弹出一个对话框,我就可以很容易地在下一个计费周期重新激活消费限额服务:
我们希望这种新的消费限制的开启和关闭的灵活性,可以使你使用MSDN获得更多的福利,使您坚信,你不会因为不经意间做的操作而为不想要的东西付费。
计费方式:订阅停止不再删除虚拟机
这个星期除了支持了消费限额重新启用,我们还做了改进,如果您的MSDN(或BizSpark或免费试用版)订阅触发了消费限制,我们将不再删除您已经运行的虚拟机。
此前,在暂停订阅里部署的虚拟机,会因为达到消费限额而被删除(数据驱动器会被保留 - 但VM实例本身会被删除)。现在订阅禁用时,其中部署的虚拟机只是会进入最近推出的停止预备状态(允许虚拟机停止而不承担任何计费)。
这让我们可以使用所有先前连接的磁盘和端点快速重新启动虚拟机,一旦一个新的订阅积分可以使用或订阅转化为付费订阅。因此,当达到支出限制时,客户不必担心失去他们的虚拟机,他们可以迅速重新启动他们的虚拟机并重新恢复工作。
存储:新 .NET存储客户端库2.1发布
本月初,我们发布了一个重要的更新到我们的Windows Azure存储客户端库的.NET。新的2.1版本包括大量出色的新特性和功能:
- 性能改进
- 支持Async Task<T>
- 表支持IQueryably<T>
- 支持缓冲池化
- Blob流改进
- 以及更多……
阅读Windows Azure存储团队的关于存储客户端库2.1版本的详细博客,以了解更多。您可以通过NuGet安装存储客户端库2.1版本,并立即开始使用它。
Web Sites: 现在支持IP地址和域名限制
这周我们为Windows Azure Web Sites中IIS启用了IP地址和域名限制功能。这同时也为组合使用最近启用的动态IP地址限制(DIPR)功能提供了额外的安全性选择。(https://blogs.msdn.com/b/windowsazure/archive/2013/08/27/confirming-dynamic-ip-address-restrictions-in-windows-azure-web-sites.aspx)
开发人员可以使用IP地址和域名限制来控制允许或拒绝访问到他们的网站的IP地址组、地址范围。开发人员可以通过Windows Azure Web Sites启用/禁用该功能,以及利用设在自己的网站的web.config文件定制其行为。
这是IIS的IP地址和域名限制功能的概述:https://www.iis.net/configreference/system.webserver/security/ipsecurity 。这是个别配置元素和属性的完整描述:https://msdn.microsoft.com/en-us/library/ms691353(v=vs.90).aspx
下面的配置片段示例显示了ipSecurity配置,它只允许*ipAddress和subnetMask的属性的组合指定的范围内的地址访问。将allowUnlisted设为false表示只有那些明确由开发商指定个人地址、或地址范围允许发送 HTTP请求到网站。将子元素add* 中allowed的属性设置为true,表示地址和子网共同确定一个允许访问网站的地址范围。
<system.webServer>
<security>
<ipSecurity allowUnlisted="false" denyAction="NotFound">
<add allowed="true" ipAddress="123.456.0.0" subnetMask="255.255.0.0"/>
</ipSecurity>
</security>
</system.webServer>
如果一个请求是在网站地址所允许的IP地址范围之外,则返回错误HTTP404未找到,如denyAction属性中所定义的。
最后要注意的,就像配套DIPR功能,Windows Azure Web Sites 确保IP地址和域名限制模块中探测到的发出HTTP请求的Internet客户端的IP地址是真实的。
总结
今天的发布包含了一堆重大的功能,使您能够建立更好的云计算解决方案。如果你还没有Windows Azure帐户,您可以注册免费试用,马上开始使用所有上述功能。访问Windows Azure开发人员中心,以了解更多有关如何构建应用程序。
希望这对会你有所帮助,
Scott
P.S.除了博客,我也在使用Twitter快速更新和共享链接。关注我:twitter.com/scottgu