Projekty integracyjne w pełni bezpieczne i wydajne
-
Upload
ibm-software-polska -
Category
Technology
-
view
577 -
download
4
description
Transcript of Projekty integracyjne w pełni bezpieczne i wydajne
Projekty integracyjne w pe łni bezpieczne i wydajneAndrzej Kowalczyk, Software Technical Sales Specialist
© 2010 IBM Corporation
1
•DataPower co to jest?
•Repozytorium usług, do czego słuŜy?
•Integracja z innymi rozwiązaniami
•Przypadki uŜycia
2
Rozwiązania WebSphere DataPower
• Ekstremalny ruch w mikrosekundach
• Konwersja protokołów• Zaawansowane QoS oraz wydajność • Ekstremalnie wydajne B2B
• Bezpieczne B2B (AS1, AS2, AS3)
• Zarządzanie partnerami handlowymi• Przeglądarka transakcji
• Sprzętowe ESB, wsparcie dla wielu protokołów
• Dowolne transformacje• Dynamiczny routing;
• Bezpieczne WebServices’u• Autentykacja autoryzacja• Scentralizowane zarządzanie
politykami
XB60XM70
XI50
XS40
3
� XML/SOAP Firewall – Filtruje dowolną treść, metadane czy sieciowe zmienne
� Walidacja Danych – sprawdza we/wy dokumenty XML oraz SOAP ze sprzętową mocą
� Field Level Security - WS-Security, szyfrowanie & podpisywanie konkretnych pól, niezaprzeczalność
� XML Web Services Access Control/AAA - SAML, LDAP, RADIUS, etc.� Wielokrokowe regu ły - zaawansowane wielokrokowe przetwarzanie reguł
� Zarządzanie Web Services - Service Level Management, Wirtualizacja usług, Zarządzanie zasadami
� Obs ługa ró Ŝnych warstw transportowych - HTTP, HTTPS, SSL
� SSL Termination/Acceleration – Akceleruje SSL ze sprzętową wydajnością
� Prosta Konfiguracja & Zarz ądzanie- WebGUI, CLI, IDE oraz Eclipse dla róŜnych grup potrzeb(Architekci, Deweloperzy, Sieciowcy, Departamenty Bezpieczeństwa)
XML Security Gateway XS40ŁŁatwe w uatwe w u ŜŜyciu i zastosowaniuyciu i zastosowaniuUrzUrząądzenie dla bezpieczedzenie dla bezpiecze ńństwastwa
4
� DataGlue “Any-to-Any” Silnik transformacji� Routing bazuj ący na tre ści
� Wzbogacanie treści komunikatu
� Konwersja protoko łów (HTTP, WMQ, TIBCO EMS, JMS, FTP, SFTP…)� Request-response oraz synchroniczne-asynchroniczne łączenia� Obsługa baz danych (ODBC)
� XML/SOAP Firewall – Filtruje dowolną treść, metadane oraz zmienne sieciowe
� Walidacja Danych - sprawdza we/wy dokumenty XML oraz SOAP ze sprzętową mocą
� Field Level Security- nie tylko WS-Security, wsparcie dla PKCS#7
� XML Web Services Access Control/AAA - SAML, LDAP, RADIUS, etc.
� Wielokrokowo ść - zaawansowane wielokrokowe przetwarzanie reguł
� Zarządzanie Web Services - Service Level Management, Wirtualizacja usług, Zarządzanie zasadami
� Prosta Konfiguracja & Zarz ądzanie - WebGUI, CLI, IDE oraz Eclipse dla róŜnych grup potrzeb(Architekci, Deweloperzy, Sieciowcy, Departamenty Bezpieczeństwa)
XML Integration Appliance XI50Integracja aplikacji Integracja aplikacji
5
Low Latency Appliance XM70 Low Latency Appliance XM70
• Multicast i Unicast– Reliable UDP Multicast (RMM)– Reliable UDP Unicast (Point to point RMM)– Reliable TCP Unicast (RUM)
• Low Latency – wysoka wydajno ść– Publikacja do 8 millionów, 12-byte’owych komunikatów na sekundę - Gigabit Ethernet– Średnio 60µs latency - Gigabit Ethernet
• Pewne (Reliable) dostarczanie komunikatów– Zero lub minimalna strata komunikatów – w przypadku niedostępności sieci czy aplikacji
• Automatyczna synchronizacja stanu dla failover– Zero utraconych komunikatów podczas failover
• Filtrowanie komunikatów– MoŜliwość działania wielu równoległych przepływów oraz wybór komunikatu w stylu JMS
6
B2B Appliance XB60 B2B Appliance XB60
• B2B Gateway Service– Wsparcie dla AS2 i AS3 (packaging/unpackaging)– Routing w oparciu EDI, XML oraz Binarny format– RóŜne protokoły wejściowe– Zarządzanie Partnerami Handlowymi
• Wiele Wyjść (róŜne protokoły wyjściowe)• Zarządzanie Certyfikatami (Security)
– Polityki zarządzania dyskiem (Archive/Purge)
• B2B Viewer– Przegląd transakcji B2B– Ponawianie transakcji– Korelacja potwierdzeń– Korelacji zdarzeń– Dostęp bazujący na rolach
Dysk twardySzyfrowany dedykowanym kluczem
Magazyn dokumentów B2B
Rejestr TransakcjiRejestr metadanych B2BZarządzanie stanami B2B
7
Repozytorium us ług biznesowych
8
Warto ść dodana dla dzia łów biznesowych jak i dla IT• Wartość biznesowa
– Wspieranie osiągnięcia celów architektur typu SOA– Definiowanie i wymuszanie firmowych standardów zarządzania usługami– Większa synergia biznesu z IT– Zmniejszenie ryzyka biznesowego z wdroŜenia SOA
• Wartość dla IT– Centralne publikowanie, wyszukiwanie i zarządzanie danymi nt. usług– Łatwiejsze odkrywanie istniejących usług – mniej redundancji– Zarządzanie cyklem Ŝycia usług od koncepcji do wycofania– Wzbogacenie moŜliwości szyny usługowej– Zarządzanie i minimalizacja wpływu zmian w usługach na pozostałe
elementy architektury IT
WebSphere Service Registry and Repository 8
9
SOA obiecuje benefity biznesowe
WebSphere Service Registry and Repository 9
Bardziej efektywne procesy biznesowe
Lepsze wykorzystanie istniej ących funkcji
Lepsza dynamika łączenia us ług
Większa synergia biznesu oraz IT
Większa elastyczno ść wsparcia biznesu przez IT
10
Czym jest Rejestr i Repozytorium?
WebSphere Service Registry and Repository 10
RepozytoriumPrzechowuje artefakty (definicje) us ług
Lepsze procesy biznesowe
Lepsze wykorzystanie posiadanych
systemów
Lepsze łączenie us ług
Lepsza synergia
biznesu z IT
Większa elastyczno ść
dzia łania
Zintegrowany Rejestr i Repozytoriumjest niezb ędny do efektywnego zarz ądzania architektur ą
zorientowan ą us ługowo (SOA)
RejestrZawiera meta-dane na temat us ług
11
WebSphere Service Registry & Repository Governance
Actions
State State
Klasyfikacje
Wersjonowanie
Promocje
Zgody
Walidacja / Zgodno ść
Analiza wp ływu
Socialization
State
State
Process
Notifikacje
Wspó łpraca
Komunikacja
Governed Entity
GE
GEE
Koncepty
Dokumenty
Kolekcje
Access Control
Organizacja
Rola
Akcja
Nazorowana Encja
Stan Cyklu Ŝycia
Life Cycle Model
Procured Approved
PublishedOperational
Specified
Development IT Governance
DeploymentNew Version
IT Management
Stany
Tranzycje
Guards
AkcjeAudit
Co zosta ło zmienione?
Co zosta ło zrobione?
Kto dokona ł zmian ?
Kiedy wykonano zmiany ?
Historia zmian
12
Scentralizowane zarz ądzanie us ługami wystawionymi na DataPower
• UŜyj WebSphere Service Registry & Repository (WSRR) do opisu, przechowywania, publikacji, oraz nadzoru nad WebServices’ami
• Automatyczne wystawianie usług na DataPower poprzez subskrypcjeWSRR– Włącza składnie WS-Policy poprzez WS-PolicyAttachment– Pobiera WSDL’e dla konkretnej wersji
• Dynamiczne routowanie w runtime’ie na podstawie informacji z WSRR
• Pełne rozwiązanie SOA Governance– WSRR dla zarządzania cyklem Ŝycia WebService– DataPower dla stosowaniaw runtime róŜnych polityk
WSRR
13
WSRR
Wprowadzenie do integracji DataPower i WSRR RóŜne opcje synchronizacji DataPower z WSRR
• Opcja 1: Subskrypcja bezpośrednia na WSDL• Opcja 2: Subskrypcja na „Concept” który wskazuje na jeden lub wiele WSDL(i)
– Automatyzacja za pomocą uŜycia „tranzycji stanu” w Polityce Governance• Opcja 3: Subskrypcja na „kryteria wyszukania” zwracające jeden lub wiele
WSDL(i)
Concept
Kryteriaszukania
WSDLWSDLWSDLWSDL
14
Dynamiczny wybór adresówUsuwa „hard-coding” portów i adresów w ESB
Środowisko deweloperskie Środowisko Testowe
klient
Miejsca docelowe
WSRR
klient
Miejscadocelowe
róŜneadresy
Zmiana konfiguracji ESB podczas migracjiZmiana wyłącznie konfiguracji WSRR
róŜneadresy
15
Dynamiczny wybór adresówWybór endpoint’u z WSDL’a lub pobranie go dynamicznie w runtime’ie
Wybór endpoint’u z WSDL
Wybór dynamiczny w runtime
WSRRWSDL definiujespecyfikację interface’u
Endpoint wybranyzgodnie z WSDL
WSRRWSDL definiujespecyfikację interface’u
Endpoint wybranydynamicznie
16
Wersjonowanie us ługUŜycie WSRR do zmiany wersji endpointów przy wdra Ŝaniu nowych us ług
WSRR
1. Usługa w wersji 1.0 zarejestrowana w WSRR oraz wystawiona na DataPower
2. Klient wywołujący operację w wersji 1.0 przekierowany do endpoint’u 1.03. Usługa w wersji 1.1 zarejestrowana w WSRR oraz wystawiona na DataPower
4. Wywołania klienta dla operacji w wersji 1.0 przekierowywane do endpoint’u 1.0
5. Wywołania klienta dla nowej operacji w wersji 1.1 trafiają do endpoint’u 1.16. Usługa w wersji 1.0 wyrejestrowana z WSRR
7. Wszystkie wywołania klientów trafiają do endpoint’u 1.1
updateAddress
getAddress
CustomerInfoService-1.0
updateHistory
getHistory
updateAddress
getAddress
CustomerInfoService-1.1
getAddress
getAddress
klient
wersja 1.0
wersja 1.1
getHistorygetAddressgetHistory
17
WS-Policy
18
Co to jest WS-Policy dla biznesu?
• Web Service Policy Framework (WS-Policy) dostarcza:
– Zdolność do określania moŜliwości system, wymagań i charakterystyk
– Generyczna i elastyczna składnia, pozwalająca zdefiniować dowolnąpolitykę dla systemu
• WS-Policy dostarcza składnię bazującą na standardach dla zdefiniowania:
– Tradycyjne wymagania zapisane “on the wire”
• Np.: wymagania odnośnie bezpieczeństwa, wybór protokołu, itp.
• Baza dla dodatkowych standardowych polityk, np., WS-SecurityPolicy
– Wymagania niespełniające “on the wire”
• Np.: polityka prywatności, jakość usługi, itp.
• WS-Policy upraszcza wymianę wymagań pomiędzy wołającym a wywoływanym
19
Co to jest WS-Policy dla technicznych?
• WS-Policy standardem W3C, obecna wersja:1.5
• Definiuje tylko cztery elementy:
– <wsp:Policy/>
– <wsp:PolicyReference/>
– <wsp:ExactlyOne/>
– <wsp:All/>
• Terminologia:
– <wsp:ExactlyOne/> oraz <wsp:All/> tzw Operators
– <wsp:Policy/> uŜywając operatorów rezultaty w Policy Expression
– Dzieci <wsp:Policy/> tzw Assertions
• MoŜe zawierać dowolny dokument XML– np.:, definicjęWS-SecurityPolicy
20
Przyk łady WS-Policy
<?xml version='1.0' encoding='UTF-8'?><wsp:Policy xmlns:wsp="http://schemas.xmlsoap.org/ws /2004/09/policy"
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-secur itypolicy/200702 “> <wsp:All>
<sp:SupportingTokens><sp:UsernameToken sp:IncludeToken="http://docs.oasis -open.org/ws-sx/ws-
securitypolicy/200512/IncludeToken/Always"> <wsp:Policy>
<sp:WssUsernameToken11/><sp:HashPassword/>
</wsp:Policy></sp:UsernameToken>
</sp:SupportingTokens></wsp:All>
</wsp:Policy>
• Definiuje WS-Policy za pomocą asercji WS-SecurityPolicy
– asercja wymaga UsernameToken 1.1 oraz zmanglowane hasło
21
Przypisanie WS-Policy do WebService’u
• Polityki mogą być przypisane do róŜnych elementów w WSDL:
– Service
– Binding
– Port
– Operation
– Message
• MoŜliwe trzy opcje do przypisywania polityk
– Wstawienie „Policy Expression” bezpośrednio do WSDL
– Wstawienie „PolicyReference” bezpośrednio do WSDL
– Stworzenie WS-PolicyAttachment
22
WS-PolicyAttachment• Kolejny standard W3C, takŜe w wersji1.5• Definiuje trzy dodatkowe elementy:
– <wsp:PolicyAttachment/>– <wsp:AppliesTo/>– <wsp:URI/>
service.xml attachment.xml policy.xml
<wsdl:definitions>…
</wsdl:definitions>
<wsp:Policy><wsp:PolicyAttachment>
<wsp:AppliesTo>…
</wsp:AppliesTo><wsp:PolicyReference>
…</wsp:PolicyReference>
</wsp:PolicyAttachment></wsp:Policy>
<wsp:Policy>…</wsp:Policy>
23
Stosowanie Polityk Bezpiecze ństwaDefiniowanie i asocjacja polityk bezpiecze ństwa w WSRR dladynamicznego stosowania w runtime’ie
User
WSRR
klientDocelowy adres
PolicyPolityka Szyfrowania
Wymagane Zaszyfrowanie
AttachmentPolityka Szyfrowania
CustomerInfoService:updateHistory
updateHistory
getHistory
updateAddress
getAddress
CustomerInfoService
updateHistory[czyste]
updateHistory[zaszyfrowany]
updateHistory
Uwaga : dobra praktyka wymaga bezpieczeństwa tzw „ostatniej mili”.
24
Rozszerzona ParametryzacjaSzerokie wykorzystanie WSRR to kontroli i sterowania us ługami
WSRR
Klient B
Adres docelowy
?
Klient A
SLAZezwala wywoływać usługi klientowi B
updateHistory
getHistory
updateAddress
getAddress
CustomerInfoService
25
WebSphere DataPower Appliances…
Upraszcza
Przyspiesza
Zabezpiecza
Nadzoruje
www.ibm.com/software/integration/datapower