Projekty integracyjne w pełni bezpieczne i wydajne
-
Upload
ibm-software-polska -
Category
Technology
-
view
578 -
download
4
description
Transcript of Projekty integracyjne w pełni bezpieczne i wydajne
![Page 1: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/1.jpg)
Projekty integracyjne w pe łni bezpieczne i wydajneAndrzej Kowalczyk, Software Technical Sales Specialist
© 2010 IBM Corporation
![Page 2: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/2.jpg)
1
•DataPower co to jest?
•Repozytorium usług, do czego słuŜy?
•Integracja z innymi rozwiązaniami
•Przypadki uŜycia
![Page 3: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/3.jpg)
2
Rozwiązania WebSphere DataPower
• Ekstremalny ruch w mikrosekundach
• Konwersja protokołów• Zaawansowane QoS oraz wydajność • Ekstremalnie wydajne B2B
• Bezpieczne B2B (AS1, AS2, AS3)
• Zarządzanie partnerami handlowymi• Przeglądarka transakcji
• Sprzętowe ESB, wsparcie dla wielu protokołów
• Dowolne transformacje• Dynamiczny routing;
• Bezpieczne WebServices’u• Autentykacja autoryzacja• Scentralizowane zarządzanie
politykami
XB60XM70
XI50
XS40
![Page 4: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/4.jpg)
3
� XML/SOAP Firewall – Filtruje dowolną treść, metadane czy sieciowe zmienne
� Walidacja Danych – sprawdza we/wy dokumenty XML oraz SOAP ze sprzętową mocą
� Field Level Security - WS-Security, szyfrowanie & podpisywanie konkretnych pól, niezaprzeczalność
� XML Web Services Access Control/AAA - SAML, LDAP, RADIUS, etc.� Wielokrokowe regu ły - zaawansowane wielokrokowe przetwarzanie reguł
� Zarządzanie Web Services - Service Level Management, Wirtualizacja usług, Zarządzanie zasadami
� Obs ługa ró Ŝnych warstw transportowych - HTTP, HTTPS, SSL
� SSL Termination/Acceleration – Akceleruje SSL ze sprzętową wydajnością
� Prosta Konfiguracja & Zarz ądzanie- WebGUI, CLI, IDE oraz Eclipse dla róŜnych grup potrzeb(Architekci, Deweloperzy, Sieciowcy, Departamenty Bezpieczeństwa)
XML Security Gateway XS40ŁŁatwe w uatwe w u ŜŜyciu i zastosowaniuyciu i zastosowaniuUrzUrząądzenie dla bezpieczedzenie dla bezpiecze ńństwastwa
![Page 5: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/5.jpg)
4
� DataGlue “Any-to-Any” Silnik transformacji� Routing bazuj ący na tre ści
� Wzbogacanie treści komunikatu
� Konwersja protoko łów (HTTP, WMQ, TIBCO EMS, JMS, FTP, SFTP…)� Request-response oraz synchroniczne-asynchroniczne łączenia� Obsługa baz danych (ODBC)
� XML/SOAP Firewall – Filtruje dowolną treść, metadane oraz zmienne sieciowe
� Walidacja Danych - sprawdza we/wy dokumenty XML oraz SOAP ze sprzętową mocą
� Field Level Security- nie tylko WS-Security, wsparcie dla PKCS#7
� XML Web Services Access Control/AAA - SAML, LDAP, RADIUS, etc.
� Wielokrokowo ść - zaawansowane wielokrokowe przetwarzanie reguł
� Zarządzanie Web Services - Service Level Management, Wirtualizacja usług, Zarządzanie zasadami
� Prosta Konfiguracja & Zarz ądzanie - WebGUI, CLI, IDE oraz Eclipse dla róŜnych grup potrzeb(Architekci, Deweloperzy, Sieciowcy, Departamenty Bezpieczeństwa)
XML Integration Appliance XI50Integracja aplikacji Integracja aplikacji
![Page 6: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/6.jpg)
5
Low Latency Appliance XM70 Low Latency Appliance XM70
• Multicast i Unicast– Reliable UDP Multicast (RMM)– Reliable UDP Unicast (Point to point RMM)– Reliable TCP Unicast (RUM)
• Low Latency – wysoka wydajno ść– Publikacja do 8 millionów, 12-byte’owych komunikatów na sekundę - Gigabit Ethernet– Średnio 60µs latency - Gigabit Ethernet
• Pewne (Reliable) dostarczanie komunikatów– Zero lub minimalna strata komunikatów – w przypadku niedostępności sieci czy aplikacji
• Automatyczna synchronizacja stanu dla failover– Zero utraconych komunikatów podczas failover
• Filtrowanie komunikatów– MoŜliwość działania wielu równoległych przepływów oraz wybór komunikatu w stylu JMS
![Page 7: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/7.jpg)
6
B2B Appliance XB60 B2B Appliance XB60
• B2B Gateway Service– Wsparcie dla AS2 i AS3 (packaging/unpackaging)– Routing w oparciu EDI, XML oraz Binarny format– RóŜne protokoły wejściowe– Zarządzanie Partnerami Handlowymi
• Wiele Wyjść (róŜne protokoły wyjściowe)• Zarządzanie Certyfikatami (Security)
– Polityki zarządzania dyskiem (Archive/Purge)
• B2B Viewer– Przegląd transakcji B2B– Ponawianie transakcji– Korelacja potwierdzeń– Korelacji zdarzeń– Dostęp bazujący na rolach
Dysk twardySzyfrowany dedykowanym kluczem
Magazyn dokumentów B2B
Rejestr TransakcjiRejestr metadanych B2BZarządzanie stanami B2B
![Page 8: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/8.jpg)
7
Repozytorium us ług biznesowych
![Page 9: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/9.jpg)
8
Warto ść dodana dla dzia łów biznesowych jak i dla IT• Wartość biznesowa
– Wspieranie osiągnięcia celów architektur typu SOA– Definiowanie i wymuszanie firmowych standardów zarządzania usługami– Większa synergia biznesu z IT– Zmniejszenie ryzyka biznesowego z wdroŜenia SOA
• Wartość dla IT– Centralne publikowanie, wyszukiwanie i zarządzanie danymi nt. usług– Łatwiejsze odkrywanie istniejących usług – mniej redundancji– Zarządzanie cyklem Ŝycia usług od koncepcji do wycofania– Wzbogacenie moŜliwości szyny usługowej– Zarządzanie i minimalizacja wpływu zmian w usługach na pozostałe
elementy architektury IT
WebSphere Service Registry and Repository 8
![Page 10: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/10.jpg)
9
SOA obiecuje benefity biznesowe
WebSphere Service Registry and Repository 9
Bardziej efektywne procesy biznesowe
Lepsze wykorzystanie istniej ących funkcji
Lepsza dynamika łączenia us ług
Większa synergia biznesu oraz IT
Większa elastyczno ść wsparcia biznesu przez IT
![Page 11: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/11.jpg)
10
Czym jest Rejestr i Repozytorium?
WebSphere Service Registry and Repository 10
RepozytoriumPrzechowuje artefakty (definicje) us ług
Lepsze procesy biznesowe
Lepsze wykorzystanie posiadanych
systemów
Lepsze łączenie us ług
Lepsza synergia
biznesu z IT
Większa elastyczno ść
dzia łania
Zintegrowany Rejestr i Repozytoriumjest niezb ędny do efektywnego zarz ądzania architektur ą
zorientowan ą us ługowo (SOA)
RejestrZawiera meta-dane na temat us ług
![Page 12: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/12.jpg)
11
WebSphere Service Registry & Repository Governance
Actions
State State
Klasyfikacje
Wersjonowanie
Promocje
Zgody
Walidacja / Zgodno ść
Analiza wp ływu
Socialization
State
State
Process
Notifikacje
Wspó łpraca
Komunikacja
Governed Entity
GE
GEE
Koncepty
Dokumenty
Kolekcje
Access Control
Organizacja
Rola
Akcja
Nazorowana Encja
Stan Cyklu Ŝycia
Life Cycle Model
Procured Approved
PublishedOperational
Specified
Development IT Governance
DeploymentNew Version
IT Management
Stany
Tranzycje
Guards
AkcjeAudit
Co zosta ło zmienione?
Co zosta ło zrobione?
Kto dokona ł zmian ?
Kiedy wykonano zmiany ?
Historia zmian
![Page 13: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/13.jpg)
12
Scentralizowane zarz ądzanie us ługami wystawionymi na DataPower
• UŜyj WebSphere Service Registry & Repository (WSRR) do opisu, przechowywania, publikacji, oraz nadzoru nad WebServices’ami
• Automatyczne wystawianie usług na DataPower poprzez subskrypcjeWSRR– Włącza składnie WS-Policy poprzez WS-PolicyAttachment– Pobiera WSDL’e dla konkretnej wersji
• Dynamiczne routowanie w runtime’ie na podstawie informacji z WSRR
• Pełne rozwiązanie SOA Governance– WSRR dla zarządzania cyklem Ŝycia WebService– DataPower dla stosowaniaw runtime róŜnych polityk
WSRR
![Page 14: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/14.jpg)
13
WSRR
Wprowadzenie do integracji DataPower i WSRR RóŜne opcje synchronizacji DataPower z WSRR
• Opcja 1: Subskrypcja bezpośrednia na WSDL• Opcja 2: Subskrypcja na „Concept” który wskazuje na jeden lub wiele WSDL(i)
– Automatyzacja za pomocą uŜycia „tranzycji stanu” w Polityce Governance• Opcja 3: Subskrypcja na „kryteria wyszukania” zwracające jeden lub wiele
WSDL(i)
Concept
Kryteriaszukania
WSDLWSDLWSDLWSDL
![Page 15: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/15.jpg)
14
Dynamiczny wybór adresówUsuwa „hard-coding” portów i adresów w ESB
Środowisko deweloperskie Środowisko Testowe
klient
Miejsca docelowe
WSRR
klient
Miejscadocelowe
róŜneadresy
Zmiana konfiguracji ESB podczas migracjiZmiana wyłącznie konfiguracji WSRR
róŜneadresy
![Page 16: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/16.jpg)
15
Dynamiczny wybór adresówWybór endpoint’u z WSDL’a lub pobranie go dynamicznie w runtime’ie
Wybór endpoint’u z WSDL
Wybór dynamiczny w runtime
WSRRWSDL definiujespecyfikację interface’u
Endpoint wybranyzgodnie z WSDL
WSRRWSDL definiujespecyfikację interface’u
Endpoint wybranydynamicznie
![Page 17: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/17.jpg)
16
Wersjonowanie us ługUŜycie WSRR do zmiany wersji endpointów przy wdra Ŝaniu nowych us ług
WSRR
1. Usługa w wersji 1.0 zarejestrowana w WSRR oraz wystawiona na DataPower
2. Klient wywołujący operację w wersji 1.0 przekierowany do endpoint’u 1.03. Usługa w wersji 1.1 zarejestrowana w WSRR oraz wystawiona na DataPower
4. Wywołania klienta dla operacji w wersji 1.0 przekierowywane do endpoint’u 1.0
5. Wywołania klienta dla nowej operacji w wersji 1.1 trafiają do endpoint’u 1.16. Usługa w wersji 1.0 wyrejestrowana z WSRR
7. Wszystkie wywołania klientów trafiają do endpoint’u 1.1
updateAddress
getAddress
CustomerInfoService-1.0
updateHistory
getHistory
updateAddress
getAddress
CustomerInfoService-1.1
getAddress
getAddress
klient
wersja 1.0
wersja 1.1
getHistorygetAddressgetHistory
![Page 18: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/18.jpg)
17
WS-Policy
![Page 19: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/19.jpg)
18
Co to jest WS-Policy dla biznesu?
• Web Service Policy Framework (WS-Policy) dostarcza:
– Zdolność do określania moŜliwości system, wymagań i charakterystyk
– Generyczna i elastyczna składnia, pozwalająca zdefiniować dowolnąpolitykę dla systemu
• WS-Policy dostarcza składnię bazującą na standardach dla zdefiniowania:
– Tradycyjne wymagania zapisane “on the wire”
• Np.: wymagania odnośnie bezpieczeństwa, wybór protokołu, itp.
• Baza dla dodatkowych standardowych polityk, np., WS-SecurityPolicy
– Wymagania niespełniające “on the wire”
• Np.: polityka prywatności, jakość usługi, itp.
• WS-Policy upraszcza wymianę wymagań pomiędzy wołającym a wywoływanym
![Page 20: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/20.jpg)
19
Co to jest WS-Policy dla technicznych?
• WS-Policy standardem W3C, obecna wersja:1.5
• Definiuje tylko cztery elementy:
– <wsp:Policy/>
– <wsp:PolicyReference/>
– <wsp:ExactlyOne/>
– <wsp:All/>
• Terminologia:
– <wsp:ExactlyOne/> oraz <wsp:All/> tzw Operators
– <wsp:Policy/> uŜywając operatorów rezultaty w Policy Expression
– Dzieci <wsp:Policy/> tzw Assertions
• MoŜe zawierać dowolny dokument XML– np.:, definicjęWS-SecurityPolicy
![Page 21: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/21.jpg)
20
Przyk łady WS-Policy
<?xml version='1.0' encoding='UTF-8'?><wsp:Policy xmlns:wsp="http://schemas.xmlsoap.org/ws /2004/09/policy"
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-secur itypolicy/200702 “> <wsp:All>
<sp:SupportingTokens><sp:UsernameToken sp:IncludeToken="http://docs.oasis -open.org/ws-sx/ws-
securitypolicy/200512/IncludeToken/Always"> <wsp:Policy>
<sp:WssUsernameToken11/><sp:HashPassword/>
</wsp:Policy></sp:UsernameToken>
</sp:SupportingTokens></wsp:All>
</wsp:Policy>
• Definiuje WS-Policy za pomocą asercji WS-SecurityPolicy
– asercja wymaga UsernameToken 1.1 oraz zmanglowane hasło
![Page 22: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/22.jpg)
21
Przypisanie WS-Policy do WebService’u
• Polityki mogą być przypisane do róŜnych elementów w WSDL:
– Service
– Binding
– Port
– Operation
– Message
• MoŜliwe trzy opcje do przypisywania polityk
– Wstawienie „Policy Expression” bezpośrednio do WSDL
– Wstawienie „PolicyReference” bezpośrednio do WSDL
– Stworzenie WS-PolicyAttachment
![Page 23: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/23.jpg)
22
WS-PolicyAttachment• Kolejny standard W3C, takŜe w wersji1.5• Definiuje trzy dodatkowe elementy:
– <wsp:PolicyAttachment/>– <wsp:AppliesTo/>– <wsp:URI/>
service.xml attachment.xml policy.xml
<wsdl:definitions>…
</wsdl:definitions>
<wsp:Policy><wsp:PolicyAttachment>
<wsp:AppliesTo>…
</wsp:AppliesTo><wsp:PolicyReference>
…</wsp:PolicyReference>
</wsp:PolicyAttachment></wsp:Policy>
<wsp:Policy>…</wsp:Policy>
![Page 24: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/24.jpg)
23
Stosowanie Polityk Bezpiecze ństwaDefiniowanie i asocjacja polityk bezpiecze ństwa w WSRR dladynamicznego stosowania w runtime’ie
User
WSRR
klientDocelowy adres
PolicyPolityka Szyfrowania
Wymagane Zaszyfrowanie
AttachmentPolityka Szyfrowania
CustomerInfoService:updateHistory
updateHistory
getHistory
updateAddress
getAddress
CustomerInfoService
updateHistory[czyste]
updateHistory[zaszyfrowany]
updateHistory
Uwaga : dobra praktyka wymaga bezpieczeństwa tzw „ostatniej mili”.
![Page 25: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/25.jpg)
24
Rozszerzona ParametryzacjaSzerokie wykorzystanie WSRR to kontroli i sterowania us ługami
WSRR
Klient B
Adres docelowy
?
Klient A
SLAZezwala wywoływać usługi klientowi B
updateHistory
getHistory
updateAddress
getAddress
CustomerInfoService
![Page 26: Projekty integracyjne w pełni bezpieczne i wydajne](https://reader033.fdocuments.net/reader033/viewer/2022060110/5560d3e3d8b42a0d088b53b5/html5/thumbnails/26.jpg)
25
WebSphere DataPower Appliances…
Upraszcza
Przyspiesza
Zabezpiecza
Nadzoruje
www.ibm.com/software/integration/datapower