Projekty integracyjne w pe łni bezpieczne i wydajneAndrzej Kowalczyk, Software Technical Sales Specialist

© 2010 IBM Corporation

1

•DataPower co to jest?

•Repozytorium usług, do czego słuŜy?

•Integracja z innymi rozwiązaniami

•Przypadki uŜycia

2

Rozwiązania WebSphere DataPower

• Ekstremalny ruch w mikrosekundach

• Konwersja protokołów• Zaawansowane QoS oraz wydajność • Ekstremalnie wydajne B2B

• Bezpieczne B2B (AS1, AS2, AS3)

• Zarządzanie partnerami handlowymi• Przeglądarka transakcji

• Sprzętowe ESB, wsparcie dla wielu protokołów

• Dowolne transformacje• Dynamiczny routing;

• Bezpieczne WebServices’u• Autentykacja autoryzacja• Scentralizowane zarządzanie

politykami

XB60XM70

XI50

XS40

3

� XML/SOAP Firewall – Filtruje dowolną treść, metadane czy sieciowe zmienne

� Walidacja Danych – sprawdza we/wy dokumenty XML oraz SOAP ze sprzętową mocą

� Field Level Security - WS-Security, szyfrowanie & podpisywanie konkretnych pól, niezaprzeczalność

� XML Web Services Access Control/AAA - SAML, LDAP, RADIUS, etc.� Wielokrokowe regu ły - zaawansowane wielokrokowe przetwarzanie reguł

� Zarządzanie Web Services - Service Level Management, Wirtualizacja usług, Zarządzanie zasadami

� Obs ługa ró Ŝnych warstw transportowych - HTTP, HTTPS, SSL

� SSL Termination/Acceleration – Akceleruje SSL ze sprzętową wydajnością

� Prosta Konfiguracja & Zarz ądzanie- WebGUI, CLI, IDE oraz Eclipse dla róŜnych grup potrzeb(Architekci, Deweloperzy, Sieciowcy, Departamenty Bezpieczeństwa)

XML Security Gateway XS40ŁŁatwe w uatwe w u ŜŜyciu i zastosowaniuyciu i zastosowaniuUrzUrząądzenie dla bezpieczedzenie dla bezpiecze ńństwastwa

4

� DataGlue “Any-to-Any” Silnik transformacji� Routing bazuj ący na tre ści

� Wzbogacanie treści komunikatu

� Konwersja protoko łów (HTTP, WMQ, TIBCO EMS, JMS, FTP, SFTP…)� Request-response oraz synchroniczne-asynchroniczne łączenia� Obsługa baz danych (ODBC)

� XML/SOAP Firewall – Filtruje dowolną treść, metadane oraz zmienne sieciowe

� Walidacja Danych - sprawdza we/wy dokumenty XML oraz SOAP ze sprzętową mocą

� Field Level Security- nie tylko WS-Security, wsparcie dla PKCS#7

� XML Web Services Access Control/AAA - SAML, LDAP, RADIUS, etc.

� Wielokrokowo ść - zaawansowane wielokrokowe przetwarzanie reguł

� Zarządzanie Web Services - Service Level Management, Wirtualizacja usług, Zarządzanie zasadami

� Prosta Konfiguracja & Zarz ądzanie - WebGUI, CLI, IDE oraz Eclipse dla róŜnych grup potrzeb(Architekci, Deweloperzy, Sieciowcy, Departamenty Bezpieczeństwa)

XML Integration Appliance XI50Integracja aplikacji Integracja aplikacji

5

Low Latency Appliance XM70 Low Latency Appliance XM70

• Multicast i Unicast– Reliable UDP Multicast (RMM)– Reliable UDP Unicast (Point to point RMM)– Reliable TCP Unicast (RUM)

• Low Latency – wysoka wydajno ść– Publikacja do 8 millionów, 12-byte’owych komunikatów na sekundę - Gigabit Ethernet– Średnio 60µs latency - Gigabit Ethernet

• Pewne (Reliable) dostarczanie komunikatów– Zero lub minimalna strata komunikatów – w przypadku niedostępności sieci czy aplikacji

• Automatyczna synchronizacja stanu dla failover– Zero utraconych komunikatów podczas failover

• Filtrowanie komunikatów– MoŜliwość działania wielu równoległych przepływów oraz wybór komunikatu w stylu JMS

6

B2B Appliance XB60 B2B Appliance XB60

• B2B Gateway Service– Wsparcie dla AS2 i AS3 (packaging/unpackaging)– Routing w oparciu EDI, XML oraz Binarny format– RóŜne protokoły wejściowe– Zarządzanie Partnerami Handlowymi

• Wiele Wyjść (róŜne protokoły wyjściowe)• Zarządzanie Certyfikatami (Security)

– Polityki zarządzania dyskiem (Archive/Purge)

• B2B Viewer– Przegląd transakcji B2B– Ponawianie transakcji– Korelacja potwierdzeń– Korelacji zdarzeń– Dostęp bazujący na rolach

Dysk twardySzyfrowany dedykowanym kluczem

Magazyn dokumentów B2B

Rejestr TransakcjiRejestr metadanych B2BZarządzanie stanami B2B

7

Repozytorium us ług biznesowych

8

Warto ść dodana dla dzia łów biznesowych jak i dla IT• Wartość biznesowa

– Wspieranie osiągnięcia celów architektur typu SOA– Definiowanie i wymuszanie firmowych standardów zarządzania usługami– Większa synergia biznesu z IT– Zmniejszenie ryzyka biznesowego z wdroŜenia SOA

• Wartość dla IT– Centralne publikowanie, wyszukiwanie i zarządzanie danymi nt. usług– Łatwiejsze odkrywanie istniejących usług – mniej redundancji– Zarządzanie cyklem Ŝycia usług od koncepcji do wycofania– Wzbogacenie moŜliwości szyny usługowej– Zarządzanie i minimalizacja wpływu zmian w usługach na pozostałe

elementy architektury IT

WebSphere Service Registry and Repository 8

9

SOA obiecuje benefity biznesowe

WebSphere Service Registry and Repository 9

Bardziej efektywne procesy biznesowe

Lepsze wykorzystanie istniej ących funkcji

Lepsza dynamika łączenia us ług

Większa synergia biznesu oraz IT

Większa elastyczno ść wsparcia biznesu przez IT

10

Czym jest Rejestr i Repozytorium?

WebSphere Service Registry and Repository 10

RepozytoriumPrzechowuje artefakty (definicje) us ług

Lepsze procesy biznesowe

Lepsze wykorzystanie posiadanych

systemów

Lepsze łączenie us ług

Lepsza synergia

biznesu z IT

Większa elastyczno ść

dzia łania

Zintegrowany Rejestr i Repozytoriumjest niezb ędny do efektywnego zarz ądzania architektur ą

zorientowan ą us ługowo (SOA)

RejestrZawiera meta-dane na temat us ług

11

WebSphere Service Registry & Repository Governance

Actions

State State

Klasyfikacje

Wersjonowanie

Promocje

Zgody

Walidacja / Zgodno ść

Analiza wp ływu

Socialization

State

State

Process

Notifikacje

Wspó łpraca

Komunikacja

Governed Entity

GE

GEE

Koncepty

Dokumenty

Kolekcje

Access Control

Organizacja

Rola

Akcja

Nazorowana Encja

Stan Cyklu Ŝycia

Life Cycle Model

Procured Approved

PublishedOperational

Specified

Development IT Governance

DeploymentNew Version

IT Management

Stany

Tranzycje

Guards

AkcjeAudit

Co zosta ło zmienione?

Co zosta ło zrobione?

Kto dokona ł zmian ?

Kiedy wykonano zmiany ?

Historia zmian

12

Scentralizowane zarz ądzanie us ługami wystawionymi na DataPower

• UŜyj WebSphere Service Registry & Repository (WSRR) do opisu, przechowywania, publikacji, oraz nadzoru nad WebServices’ami

• Automatyczne wystawianie usług na DataPower poprzez subskrypcjeWSRR– Włącza składnie WS-Policy poprzez WS-PolicyAttachment– Pobiera WSDL’e dla konkretnej wersji

• Dynamiczne routowanie w runtime’ie na podstawie informacji z WSRR

• Pełne rozwiązanie SOA Governance– WSRR dla zarządzania cyklem Ŝycia WebService– DataPower dla stosowaniaw runtime róŜnych polityk

WSRR

13

WSRR

Wprowadzenie do integracji DataPower i WSRR RóŜne opcje synchronizacji DataPower z WSRR

• Opcja 1: Subskrypcja bezpośrednia na WSDL• Opcja 2: Subskrypcja na „Concept” który wskazuje na jeden lub wiele WSDL(i)

– Automatyzacja za pomocą uŜycia „tranzycji stanu” w Polityce Governance• Opcja 3: Subskrypcja na „kryteria wyszukania” zwracające jeden lub wiele

WSDL(i)

Concept

Kryteriaszukania

WSDLWSDLWSDLWSDL

14

Dynamiczny wybór adresówUsuwa „hard-coding” portów i adresów w ESB

Środowisko deweloperskie Środowisko Testowe

klient

Miejsca docelowe

WSRR

klient

Miejscadocelowe

róŜneadresy

Zmiana konfiguracji ESB podczas migracjiZmiana wyłącznie konfiguracji WSRR

róŜneadresy

15

Dynamiczny wybór adresówWybór endpoint’u z WSDL’a lub pobranie go dynamicznie w runtime’ie

Wybór endpoint’u z WSDL

Wybór dynamiczny w runtime

WSRRWSDL definiujespecyfikację interface’u

Endpoint wybranyzgodnie z WSDL

WSRRWSDL definiujespecyfikację interface’u

Endpoint wybranydynamicznie

16

Wersjonowanie us ługUŜycie WSRR do zmiany wersji endpointów przy wdra Ŝaniu nowych us ług

WSRR

1. Usługa w wersji 1.0 zarejestrowana w WSRR oraz wystawiona na DataPower

2. Klient wywołujący operację w wersji 1.0 przekierowany do endpoint’u 1.03. Usługa w wersji 1.1 zarejestrowana w WSRR oraz wystawiona na DataPower

4. Wywołania klienta dla operacji w wersji 1.0 przekierowywane do endpoint’u 1.0

5. Wywołania klienta dla nowej operacji w wersji 1.1 trafiają do endpoint’u 1.16. Usługa w wersji 1.0 wyrejestrowana z WSRR

7. Wszystkie wywołania klientów trafiają do endpoint’u 1.1

updateAddress

getAddress

CustomerInfoService-1.0

updateHistory

getHistory

updateAddress

getAddress

CustomerInfoService-1.1

getAddress

getAddress

klient

wersja 1.0

wersja 1.1

getHistorygetAddressgetHistory

17

WS-Policy

18

Co to jest WS-Policy dla biznesu?

• Web Service Policy Framework (WS-Policy) dostarcza:

– Zdolność do określania moŜliwości system, wymagań i charakterystyk

– Generyczna i elastyczna składnia, pozwalająca zdefiniować dowolnąpolitykę dla systemu

• WS-Policy dostarcza składnię bazującą na standardach dla zdefiniowania:

– Tradycyjne wymagania zapisane “on the wire”

• Np.: wymagania odnośnie bezpieczeństwa, wybór protokołu, itp.

• Baza dla dodatkowych standardowych polityk, np., WS-SecurityPolicy

– Wymagania niespełniające “on the wire”

• Np.: polityka prywatności, jakość usługi, itp.

• WS-Policy upraszcza wymianę wymagań pomiędzy wołającym a wywoływanym

19

Co to jest WS-Policy dla technicznych?

• WS-Policy standardem W3C, obecna wersja:1.5

• Definiuje tylko cztery elementy:

– <wsp:Policy/>

– <wsp:PolicyReference/>

– <wsp:ExactlyOne/>

– <wsp:All/>

• Terminologia:

– <wsp:ExactlyOne/> oraz <wsp:All/> tzw Operators

– <wsp:Policy/> uŜywając operatorów rezultaty w Policy Expression

– Dzieci <wsp:Policy/> tzw Assertions

• MoŜe zawierać dowolny dokument XML– np.:, definicjęWS-SecurityPolicy

20

Przyk łady WS-Policy

<?xml version='1.0' encoding='UTF-8'?><wsp:Policy xmlns:wsp="http://schemas.xmlsoap.org/ws /2004/09/policy"

xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-secur itypolicy/200702 “> <wsp:All>

<sp:SupportingTokens><sp:UsernameToken sp:IncludeToken="http://docs.oasis -open.org/ws-sx/ws-

securitypolicy/200512/IncludeToken/Always"> <wsp:Policy>

<sp:WssUsernameToken11/><sp:HashPassword/>

</wsp:Policy></sp:UsernameToken>

</sp:SupportingTokens></wsp:All>

</wsp:Policy>

• Definiuje WS-Policy za pomocą asercji WS-SecurityPolicy

– asercja wymaga UsernameToken 1.1 oraz zmanglowane hasło

21

Przypisanie WS-Policy do WebService’u

• Polityki mogą być przypisane do róŜnych elementów w WSDL:

– Service

– Binding

– Port

– Operation

– Message

• MoŜliwe trzy opcje do przypisywania polityk

– Wstawienie „Policy Expression” bezpośrednio do WSDL

– Wstawienie „PolicyReference” bezpośrednio do WSDL

– Stworzenie WS-PolicyAttachment

22

WS-PolicyAttachment• Kolejny standard W3C, takŜe w wersji1.5• Definiuje trzy dodatkowe elementy:

– <wsp:PolicyAttachment/>– <wsp:AppliesTo/>– <wsp:URI/>

service.xml attachment.xml policy.xml

<wsdl:definitions>…

</wsdl:definitions>

<wsp:Policy><wsp:PolicyAttachment>

<wsp:AppliesTo>…

</wsp:AppliesTo><wsp:PolicyReference>

…</wsp:PolicyReference>

</wsp:PolicyAttachment></wsp:Policy>

<wsp:Policy>…</wsp:Policy>

23

Stosowanie Polityk Bezpiecze ństwaDefiniowanie i asocjacja polityk bezpiecze ństwa w WSRR dladynamicznego stosowania w runtime’ie

User

WSRR

klientDocelowy adres

PolicyPolityka Szyfrowania

Wymagane Zaszyfrowanie

AttachmentPolityka Szyfrowania

CustomerInfoService:updateHistory

updateHistory

getHistory

updateAddress

getAddress

CustomerInfoService

updateHistory[czyste]

updateHistory[zaszyfrowany]

updateHistory

Uwaga : dobra praktyka wymaga bezpieczeństwa tzw „ostatniej mili”.

24

Rozszerzona ParametryzacjaSzerokie wykorzystanie WSRR to kontroli i sterowania us ługami

WSRR

Klient B

Adres docelowy

?

Klient A

SLAZezwala wywoływać usługi klientowi B

updateHistory

getHistory

updateAddress

getAddress

CustomerInfoService

25

WebSphere DataPower Appliances…

Upraszcza

Przyspiesza

Zabezpiecza

Nadzoruje

www.ibm.com/software/integration/datapower