• 1. 第5章 企业架构之技术架构
  • 2. 技术架构共12类视图技术架构 主线一T1 技术框架视图T2 信息系统视图T3 系统组件视图T4 系统逻辑 部署视图T2 系统集成视图派生应用 架构T3 系统接口视图派生T2 技术组件视图数据 架构T3 软件视图T4 系统物理 部署视图派生技术架构 主线二T2 基础设施 概念视图T3 基础设施 逻辑视图T4 基础设施 物理视图定义企业全局上的公共技术域,形成技术框架。区域级的数据中心分布,及相应网络流量、计算资源和存储资源规划。单个数据中心内的网络区域划分,及区域中部署的系统。单个位置内的各种设备分布及连接情况。展现系统部署到的硬件设备和支撑系统软件。展现系统部署到的部署节点,如应用服务器、数据库服务器等。展现组成系统的组件及组件间关系。展现系统与外部系统之间的集成场景及相关接口组件。展现实现系统的软件及其版本信息。定义实现技术能力的组件。展现系统间的集成场景。展现平台系统和应用系统,以及应用系统对应用、平台系统对技术框架的支撑情况。派生2
  • 3. 背景概述(案例)基于前期规划的IT应用架构中,规划了一系列的IT应用,其中包括了统一身份认证及权限管理平台等共性内容统一身份认证作为SOA架构中的重要基础设施,统一各IT服务中的用户身份标识,成为全行用户身份认证的平台 统一权限管理为实现全行跨系统间的大工作流平台提供了底层支撑 统一权限管理为运行监测提出的操作行为审计、不相容岗位权限的控制等需求提供了统一的解决方案某单位技术架构
  • 4. 系统需求(案例)统一身份认证:SOA架构的应用系统要求有统一的跨平台用户身份认证服务。统一认证服务颁发的用户身份凭据在所有系统/服务间共享。当用户访问其有权限访问的系统时,都无需再次登录 用户身份信息同步:系统中用户身份信息的建立/维护不再是分散进行。可以依据统一的规则从SAP人事系统创建并自动更新各应用/服务。同时每个应用系统中仍可维护自己数据访问级的用户权限,所以平台必须提供一种机制,使得用户基本信息的变化(如:用户所在机构/职位的变化)在各个系统中自动同步 全行应用接口标准:为了让未来的应用系统能够顺利地接入统一认证平台,必须有一套完整的开发接口和规范标准供各应用使用。规范应该对用户信息管理的各个方面作出要求,如:用户登录,统一身份凭据的跨平台实施标准,用户信息数据的读取/修改/删除,修改密码等 身份验证技术统一接口:与基于全行一卡通、USB Key和指纹识别等安全身份验证技术集成,提供统一的客户安全验证接口 统一授权管理:在IT架构的总体层面为各应用系统在用户角色/功能级别上提供参数配置化的统一授权管理
  • 5. 接口对需求的分析身份验证技术统一接口 用户可以根据业务及安全控管的不同要求,选择各种安全级别的安全身份认证技术在统一认证平台上做身份认证 统一认证平台提供一个统一的接口,确保现有的“一卡通”、USB Key、指纹验证等认证手段均可配置为平台中用户进行身份认证的技术手段;且将来新的身份验证技术也可通过这一标准接口,集成到平台中来User一卡通USB Key指纹User AUser BUser C用户。。。 新身份 认证技术统一认证 服务用户认证配置信息
  • 6. 对需求的分析统一身份认证包括 应用的统一认证 服务的用户认证
  • 7. 对需求的分析统一权限管理 应用系统的权限管理分为两部分 功能层面上的授权管理:此层面的应用权限控制在于规范用户对某类别的应用功能,或系统操作功能的访问权。 可以实现通过平台集中参数配置,给应用系统提供开发接口来实现 集中的参数化配置管理权限使整个系统灵活性较高,并符合SOA架构的要求 业务数据层面的权限管理:应用中根据业务规则,限制如业务员仅能看到自己的客户数据、部门经理能够查看其所属部门的客户数据、分支行不能跨利润中心查询其他营业机构的业务数据等诸如此类的权限控制需求 此类需求的业务规则复杂多变,且对系统性能影响较大 目前已有AOP切片的方式来实现,具体需要应用中的数据访问层或O/R Mapping层来实现 不建议采用集中的参数配置来管理
  • 8. 系统授权访问机制 网点前端CCF用户 角色用户数据 集中认证/授权服务AD目录 服务1.用户登录2.柜员签到(带AD已认证的用户身份)3.返回用户标示 CBT/所有权限角色列表工作流应用系统应用系统应用系统4.申请要访问功能的权限信息5. 查取前端功能对应的应 用及所需权限角色6.返回功能所对应权限列表7.发送请求报文,内含用户权限列表CBT8.转发客户端请求,由应用根据 配置的访问角色进行权限判断9.权限判断通过,返回结果1.查询用户ID 对应的权限2.返回用户角色 列表,并cache用户权限信息集中配置,在柜员签到时一次下载,如果有新变动,用户要重登录 前端对应功能的权限配置(所需访问的应用及相应角色)集中存储,第一次访问时访问后端取得,缓存在前端 客户端自行判断自身角色与所需权限角色是否匹配,并在请求后台服务时把需要的角色列表封包为CBT令牌,发给后端 后端服务根据应用中的权限配置信息校验用户CBT中权限角色列表,如符合则允许访问
  • 9. 解决方案内部功能User用户User 用户认证服务 用户授权 用户密码管理服务基于角色的访问控制用户开立用户数据同步AdministratorAdministrator用户 目录用户 角色登录审计日志访问控制规则应用角色 cache用户数据应用用户数据应用Role CacheUser Data…..应用…..登录连接管理规则管理用户管理角色管理用户密码管理角色 cache数据汇聚平台
  • 10. 技术架构的价值将应用架构中的公共IT建设内容进行聚焦。 将以私有软件云的方式进行建设第10页
  • 11. 技术架构建设的集中建设、共享复用的发展之路面向过程 软件开发 面向对象 软件开发面向组件 软件开发 标准的 Web Service 软件开发 SOA
  • 12. 传统的解决方案代表技术—CORBA
  • 13. 服务作为SOA中最核心的抽象手段,业务被划分为一系列粗粒度的业务服务和业务流程业务服务相对独立、自包含、可复用,由一个或者多个分布式的系统实现 业务流程由服务组装实现SOA解决方案
  • 14. SOA使命主要目标132SOA 方案IT应用系统具有互操作性,可有效的进行再服务级 粒度进行系统整合,最大程度的利用遗留系统 业务上要求IT提供更快的响应速度业务本身的转型IT自身的转型松耦合特性使得服务即互不影响又方便整合,有效减 少系统规划到上市的时间以响应快速改变的市场需要通过对业务流程的分析,可方便的进行业务流程级别 的整合,以监控、管理和优化业务流程
  • 15. SOAObject OrientedBPMDistributed ComputingWeb ApplicationEnterprise Integration Related Concepts SOA相关概念
  • 16. 2018/10/2416总结:云计算带来IT价值与业务效益资源虚拟化,从而实现全局共享 节省投资 SOA 框架使得IT能对业务需求提供快速部署, 时间从原来的几个月缩短到半天 提高了业务支撑能力 一体化管理打破了原来IT信息孤岛式业务系统管理,使得系统维护人员的效率大大提高 运维效率提高,交付的服务质量随之提高 消除单点故障造成的稳定、可靠性问题 提高系统稳定性和可靠性 帮助IT投资风险和决策 智慧的IT 节能减排 绿色IT
  • 17. ESB设计与最佳实践东风汽车有限公司
  • 18. 18SOA-技术架构模式ESB 、SOA与WebSphere的关系 什么时候需要用到ESB ESB架构标准实践 ESB设计原则实践 IBM关于建立东风有限统一的ESB的建议方案 IBM ESB的独特优势 IBM ESB案例分享
  • 19. ESB、SOA和WebSphere的关系
  • 20. 20As Patterns Have Evolved, So Has IBMFlexibility应用之间点对点的连接 实现简单、基本的信息交互和数据传递传统架构 基于消息传递的模式通过HUB模式实现应用之间的整合 很容易管理大量的连接和系统过渡架构 企业应用整合通过企业服务总线实现服务的整合集中和流程实现 借助标准的接口灵活地连接,实现真正的随需应变先进构架 面向服务体系架构 SOAIT构架的演变 The next stage of integration
  • 21. 21一种充分利用开放标准,将软件资产展现为服务的结构 提供软件资产标准的展现和交互途径 在开发其他应用的时候,可以将独立的软件资产封装为一个一个的“积木” 更注重应用之间的装配而不是实现细节什么是SOA?为什么采用SOA?封装可以实现重用 采用独立的实现接口描述,容易整合各种应用 由于明确定义了应用系统间的接口,容易实现应用流程模型--就象搭积木!
  • 22. 22关键概念SOA通过明确的定义和松散藕荷来提升系统间的弹性: Service:服务 任何事情都可以是一个服务, 一个实现了唯一功能的自包容的实体 Service 交互 外部用户调用服务 服务可以彼此交互,调用操作和交换数据 Service交互可以是间接的 Service 编排 通过调用服务, 可以编排实现业务流程 Service 发现 一个注册的服务可以在构建时或者运行时被发现Service RequestorDiscovery AgencyDiscovery AgencyFindPublishInteractClientService ProviderService DescriptionServiceService RequestorDiscovery AgencyService RegistryFindPublishInteractClientService ProviderService DescriptionService
  • 23. 23Service InteractionEnterprise Service BusServiceServiceServiceServiceClient企业服务总线(ESB)概念经常用来表示服务互相交互的机制,它提供 了通信的基础架构 企业服务总线应当提供: 一致的、位置透明的、协议独立的手段来实现交互 一致的、位置透明的交互意味服务消费者和提供者之间可以是间接的 无论何种通信服务,应提供端到端的连通保证
  • 24. 24什么是Enterprise Service Bus?An Enterprise Service Bus is a core component of a Services Oriented Architecture … 它连接和集成企业和组织的IT infrastructure, across many locations, 支持不同的transport services, and… 它可以自动路由消息并且提供系统级的功能,如:消息的格式自动 转换, and… 必须是基于标准的规范, and… 这些必须是安全的、可靠的,并且在高负荷的情况下可管理
  • 25. 25ESB应该有哪些服务?传输服务 安全、可靠的数据传输 永久性/非永久性 同步/异步 仲裁服务 路由 格式转换 事件服务 事件发现和发布 Publish / SubscribeShape = Protocol Color = Data type An Enterprise Service Bus (ESB) is a flexible connectivity infrastructure for integrating applications and services. An ESB powers your SOA by reducing the number, size, and complexity of interfaces.
  • 26. 26IT 服务管理业务创新和优化服务业务应用程序服务开发服务合作伙伴服务应用程序和信息资产连接性服务流程服务 信息服务交互服务门户应用程序 EJBSAP 适配器Oracle 适配器联合质询数据库 访问数据库 访问团体管理器业务创新和优化业务用面板IT 对流程的支持SOA 参考架构
  • 27. 什么时候需要用 ESB
  • 28. 28什么时候需要用 ESBESB 网关 – recommendation DataPower SOA Appliance – for any external services to protect against XML threats 中介 between non-standards based systems and standards based systems 支持动态更改提供者 (routing, replacement, load balancing, protocol changes) Including versioning Minimize changes to requestors 支持请求者与提供者之间协议和数据格式不同时的交互 Adding new requestors who are not an exact match with provider Common security, management, monitoring enforcement
  • 29. ESB架构实践
  • 30. 301. 确定参考架构ESB涉及多平台,多项目 Usually spearheaded by a corporate Architecture team or Infrastructure team Needs participation and agreement from Networking, Security, Application Development, and Operations A Reference Architecture is a key document and process for securing this agreement across all stakeholders 核心架构、设计和管控决策 可选的技术路线和设计模式 提供常见场景和使用实践
  • 31. 31定义接口和连接标准ESB功能全面,大多数企业不会使用到所有功能 You need to decide what connectivity options to allow both internally and externally 确定总线上实现哪些功能及gateways 和 adapters Gateways are access points for bridging on and off the bus Can be used as policy enforcement points Adapters are mechanisms for bringing information onto or off of the bus 确定采用哪种标准路线 Emphasize industry standards for external (partner) communication 确定所支持的常见数据表示 Canonical message formats allow for shared transformation mediations
  • 32. 32Message Models :XMLMediation FlowsCommunication ProtocolsEnterprise Service BusInteraction PatternsMediation PatternsMeta modelsExpanded view of the ESB
  • 33. 33以ESB为中心的逻辑模型Outside ESB Business Logic (Business Services) ESB does contain integration logic or connectivity logic Criteria: semantics versus syntax; aspects Loosely coupled to ESB Security and Management Policy Decision Point outside the ESB ESB can be Policy Enforcement PointTightly coupled to ESB Service Registry Registry a Policy Decision Point for ESB ESB a Policy Enforcement Point for Registry But, Registry has a broader scope in SOA Tooling required for ESB Development Administration Configures ESB via Service RegistryESBManagement ServicesSecurityManagementApplication ServicesInformationProcessInteractionAccessBusiness AppPartnerRegistryDevelopment Services
  • 34. 344. 从企业业务架构、应用中分离出业务逻辑基本设计原则:需要分离考虑: Business logic does not belong in mediations ESB 架构于业务逻辑之上 - the business logic may put information into headers Example: business logic determines whether a customer deserves priority treatment, sets a flag in the header, the ESB routes to highest performing provider 分离业务逻辑和应用程序逻辑 Use BPEL and choreography for that instead
  • 35. 35The SOA/ESB Design PatternDemilitarized ZoneWeb Services Gateway Partner ZoneEnterprise Secure ZoneEnterprise Service BusEnterprise Service Bus Gateway Back-end Resource Gateway Domain FirewallInter-Enterprise ZoneProtocol FirewallNetwork Infrastructure
  • 36. 36(6) Message is transformed and routed to the selected endpoint.Message(1) A Message is receivedESB Mediation(2) Invokes a selection mediation.PublishFindEnrichGovernManageWebSphere Service Registry and Repository(3) Retrieve requestor information(4) Retrieves candidate providers informationMessage(5) Executes matching algorithm to identify the provider service for requestor serviceMessageServiceDynamic selectionWSRR support WESB 6.0.2 mediation primitive Port Type match WMB SupportPac Port Type match General metadata retrieval DP 3.6.0.8 and higher firmware使用 Service 注册表
  • 37. 37设立公共安全策略ESB是共享资源,安全策略更为重要 This is a least-common denominator from which you can expand Security must be holistic Each enterprise has its own balance of risk and countermeasures but ultimately must support the business model for information protection & user access 定义端到端的安全模型 Document existing security practices, policies and requirements Perform a risk assessment to document vulnerabilities and countermeasures to address known risks What are the legal issues involved? Are there requirements where policies are(/should be) being enforced? Is a manual procedure (code review) for application development the control point? 确定安全策略及策略控制点
  • 38. ESB设计原则实践
  • 39. 391. 确定规范或不规范消息模型在ESB中建议采用一致规范的消息模型. If any requester or provider does not understand the canonical message ([Hohpe]), then the canonical message is transformed into the message format of the requester or provider. This transformation may be done by ESB or one the requester or provider. 如果没有规范的消息模型,ESB就成了点对点的集成 Which increases cost to add new requestors and providers.
  • 40. 40利用Adapters集成现有系统An ESB must allow access to existing Enterprise Information Systems Adapters typically used, and may or may not be part of the ESB Technology 技术适配器 Application 应用适配器 Legacy 遗留系统适配器 适配器与ESB的位置关系: Outside of the ESB, and inside the EIS domain Outside the ESB, and the EIS domain On the boundary of the ESB Inside the ESB Adapters两个关键技术点 Communication protocol Message format
  • 41. IBM关于建立东风有限统一的ESB的建议方案
  • 42. 42典型应用场景保护对外的 Web 服务 支持合作伙伴、客户安全地访问记录的后端系统 传统系统集成 把大型机或传统应用连接到 Web 服务SOA HUB 式的中介服务 在应用和 Web 服务间有效地转换、路由、记录消息 加速动态的 Web 站点 加快 XML-HTML 渲染,用于动态内容生成
  • 43. 43Mediation Chain格式转换服务路由企业级ESB典型方案Enterprise Service Bus(MB)交互服务Web页面内部流程服务Web页面DMS召回系统SAP…………OAAdapterSOAP/JMS/IIOPSOAP/JMS/IIOPSOAP/JMS/IIOPDataPowerSOAP/JMS/IIOPSOAP/JMS/IIOP新车销售系统SOAP/JMS/IIOPMQMQEnterprise Service Bus(MB/WESB)SCM系统WEB展现
  • 44. 44WPS Cluster 开发与部署架构WebSphere Message BrokerBroker DomainBrokerBrokerWebSphere Message BrokerBroker DomainBrokerBrokerESB Cluster User Appv6 Config ManagerConfig Manager ProxyUser AppConfig Manager Proxy开发AdapterMQJMSHTTP/SOAPWebSphere Process ServerNode AgentWPSWPSWebSphere Process ServerNode AgentWPSWPS
  • 45. ESB的独特优势
  • 46. 46为什么不采用传统架构,而是采用ESB总线方案采用传统架构可以实现系统交互 自行开发定义系统间数据接口和应用接口 采用总线的优势 利用开放标准,将软件资产展现为服务的结构 面向服务的体系架构 完全松耦合架构提升系统间的弹性 采用独立的实现接口描述,单一对外接口,容易实现各种应用整合 由于明确定义了应用系统间的接口,容易实现应用流程模型--就象搭积木! 总体性价比 升级、维护 易于管理和监控
  • 47. 47ESB独特优势交易完整性保证 支持不同层次的交易完整性要求,例如:可以设定整个消息流为一个完整的交易,当某一环节发生错误时,整个消息流回滚,保证数据一致性; 高可靠性和高扩展性 单节点: 多节点:强大的Cluster功能 具有理解和管理各类系统的能力 支持统一的监控和管理框架 进行全面的系统监控和管理 开发简单
  • 48. 48ESB独特优势:强大的连接性先进的企业服务总线 Message Broker提供标准接口和通用连接JMSTIBCO Rendezvous® Web ServicesWeblogic JMS® WebSphere MQTIBCO EMS JMS® HTTPSonicMQ JMS®Biztalk® MQeTuxedo®Real-time IPFTPMulticastMQTTXMLCOBOL CopybookEDI-X.12ACORDEDI-FACTebXMLAL3HIPAAHL7SWIFTFIXCustom FormatsWord/Excel/PDFPlus the following:WebSphere AdaptersC, C++, C#, Java, .NET, PB, PL/1, ASM, TAL, RPG, VB, COBOL, Perl, SmallTalk, LotusScript, REXX, …
  • 49. 民航航空安全系统整合技术方案
  • 50. 50民航信息建设要求利用现代信息技术建立完整的高速网络交换平台 建立高效、及时、准确、完整、统一的民航安全运行管理信息系统 满足各种应用系统集成的需要 完整的管理机制满足运行和维护的需要
  • 51. 51航安系统整合实现框架
  • 52. 52方案总结 -民航航空安全系统整合技术方案首先保证在一个异构的环境中实现信息稳定、可靠的传输 屏蔽掉用户实际中的硬件层、操作系统层、网络层等相对复杂、烦琐的界面, 为用户提供一个统一、标准的信息通道,保证用户的逻辑应用和这些底层平台没有任何关系 提供一个基于application-hub的先进应用整合理念,最大限度地减少应用系统互联所面临的复杂性 基于WBI系统的实现维护都相对简单,保证每一个应用系统的更新和修改都能够实时地实现, 当新的应用系统出现时能够简便的纳入到整个IT环境当中,与其它的应用系统相互协作,共同为用户提供服务,是我们实现企业应用互联和流程管理的最佳实现方案
  • 53. 中国人民银行国库信息处理系统
  • 54. 54建设目标 国库信息处理系统 (Treasury Information Processing System)是 一个以国库横行联网的业务流程和工作流程为基础,连接税务、财政、 国库及商业银行等业务部门的信息集成处理系统,用于传递、处理税款 缴纳、划分、入库、退库、对账、业务监管、统计分析等各项业务的电 子信息。 高性能 高可靠 安全 扩展性好 集成平台
  • 55. 55ESB总结为基础服务和业务服务提供稳定的集中平台 高性能,提供强大的负载均衡功能,提高系统的吞吐率 部署和配置简单,管理界面友好,容易监控 强大的系统连通性,支持多种协议、多种系统接口和多种接入方式 数据传输安全可靠,提供系统的实时响应 灵活的架构,对任何一个接入系统影响都最小 开发简单,开发周期短,降低投资风险
  • 56. (本页无文本内容)