概念とアーキテクチャ

システム管理およびオペレーション モニタの概念

このトピックでは、AquaLogic Service Bus のシステム管理およびオペレーション モニタの概念について説明します。これは、AquaLogic Service Bus の管理とモニタに携わるシステム管理者およびオペレータを対象としています。内容は以下のとおりです。

• セキュリティ管理
• コンフィグレーション メタデータのエクスポートおよびインポート
• ダッシュボード、システム メトリック、およびアラート
• メッセージ レポート

 

---

セキュリティ管理

AquaLogic Service Bus では、WebLogic Server のセキュリティ アーキテクチャおよびサービスを利用して、サービスとそのサービス クライアントの間でのセキュアなメッセージ交換をサポートします。WebLogic Server には、次のタイプのセキュリティ機能が実装されています。

• 認証
• ID アサーション
• 認可
• ロール マッピング
• 監査
• 資格マッピング

これらの WebLogic Server セキュリティ プロバイダおよび WebLogic Server セキュリティ アーキテクチャ全般の詳細については、BEA WebLogic Server のセキュリティのドキュメントを参照してください。

AquaLogic Service Bus セキュリティでは、WS-Policy 仕様がサポートされます。WS-Policy 仕様の詳細については、次の URL にある「Web Services Policy Framework (WS-Policy) and Web Services Policy Attachment (WS-PolicyAttachment)」を参照してください。

http://specs.xmlsoap.org/ws/2004/09/policy/

WS-Policy には、メッセージのどの部分を署名および暗号化するか、およびどのセキュリティ アルゴリズムを適用するかが記述されます。また、メッセージ受信の際に使用する認証メカニズムも記述されます。

AquaLogic Service Bus Console では、サービスにセキュリティ ポリシーをコンフィグレーションし、そのインタフェース内のメッセージにセキュリティ ポリシーを適用できます。セキュリティ ポリシーの適用対象として、サービスを指定することも、サービスのオペレーションに関連する個々のメッセージを指定することもできます。サービスに対してセキュリティ ポリシーを指定した場合、そのサービスのすべてのメッセージにポリシーが適用されます。

AquaLogic Service Bus Console では、プロキシ サービスの転送レベルおよびメッセージレベルのセキュリティに必要な資格を管理することもできます。ビジネス サービスおよびプロキシ サービスのクライアント資格は、WebLogic Server を直接使用することによって管理します。

AquaLogic Service Bus では、オペレーションのレベルごとに異なる WebLogic Server セキュリティ プロバイダを使用できます。以下の節で、レベルごとに使用できるセキュリティについて説明します。

• ユーザ管理
• コンソールのセキュリティ
• 転送レベルのセキュリティ
• メッセージレベルのセキュリティ

ユーザ管理

AquaLogic Service Bus のユーザ管理は、WebLogic Server の統合されたセキュリティ フレームワークに基づいて作成されています。このフレームワークにより、AquaLogic Service Bus Console では、任意のグループまたは個々のユーザに割り当てられたロールに関連付けられているセキュリティ ポリシーを基にしたタスク レベルの認可がサポートされます。WebLogic Server のセキュリティ フレームワークの詳細については、BEA WebLogic Server のセキュリティのドキュメントを参照してください。

AquaLogic Service Bus Console では、AquaLogic Service Bus のユーザ、グループ、およびロールを管理できます。AquaLogic Service Bus Console を使用して AquaLogic Service Bus のユーザ、グループ、およびロールを管理する方法については、AquaLogic Service Bus Console のオンライン ヘルプで「セキュリティ コンフィグレーション」を参照してください。

コンソールのセキュリティ

デフォルトでは、AquaLogic Service Bus ドメインで最初に作成されるユーザは WebLogic Server 管理者です。このユーザは、AquaLogic Service Bus のすべてのオブジェクトおよび機能にアクセスでき、ユーザ管理タスクを実行して AquaLogic Service Bus Console の機能へのアクセス制御を行うことができます。次の表は、AquaLogic Service Bus のユーザを割り当てることのできるデフォルトのロールおよびグループを示します。

表 3-1 AquaLogic Service Bus のデフォルトのロールおよびグループ

ロール	関連付けられているグループ	説明
IntegrationAdmin	IntegrationAdministrators	すべての AquaLogic Service Bus オブジェクトおよび機能に対するあらゆるアクセス権がある。
IntegrationDeployer	IntegrationDeployers	すべてのオブジェクトに対する読み込みアクセス権がある。リソース、サービス、プロキシ サービス プロバイダ、またはプロジェクトを作成、削除、編集、インポート、エクスポートできる。
IntegrationOperator	IntegrationOperators	すべてのオブジェクトを読み込み、エクスポートできるアクセス権がある。アラートのコンフィグレーション、メトリック コレクションの有効/無効の切り替え、およびサービスの停止と再開ができる。
IntegrationMonitor	IntegrationMonitors	すべてのオブジェクトに対する読み込みアクセス権がある。任意のリソース、サービス、プロキシ サービス プロバイダ、またはプロジェクトをエクスポートできる。

 

AquaLogic Service Bus Console を使用して AquaLogic Service Bus のユーザ、グループ、およびロールを管理する方法については、AquaLogic Service Bus Console のオンライン ヘルプで「セキュリティ コンフィグレーション」を参照してください。

転送レベルのセキュリティ

AquaLogic Service Bus では、転送レベルの機密性、メッセージの整合性、および一方向の要求または双方向 (要求/応答) の (クライアントから AquaLogic Service Bus への) トランザクションでのクライアント認証が HTTPS 経由でサポートされます。次のいずれかのクライアント認証を要求するように、HTTP(S) のプロキシ サービスまたはビジネス サービスをコンフィグレーションできます。

• 基本 (ユーザ名/パスワード) クライアント認証
• クライアント証明書 (双方向 SSL) によるクライアント認証
• クライアント認証なし

プロキシ サービスがアクティブになると、簡素な Web アプリケーションが生成されます。AquaLogic Service Bus は、セッション管理、クライアント証明書の検証および認証、信頼性の管理、およびサーバの SSL キー/証明書の操作といったサーバサイド SSL の部分で WebLogic Server に依存します。

AquaLogic Service Bus でサポートされる、HTTP 以外の転送方式での転送セキュリティは次のとおりです。

• 電子メールおよび FTP では、FTP サーバまたは電子メール サーバ接続用の資格を使用したセキュリティが提供される。
• ファイル転送では、ファイルが存在するマシンへのログイン コントロールを使用したセキュリティが提供される。

詳細については、『BEA AquaLogic Service Bus ユーザーズ ガイド』の「着信メッセージおよび発信メッセージの保護」で「転送レベルのセキュリティ」を参照してください。

メッセージレベルのセキュリティ

AquaLogic Service Bus では、OASIS Web Services Security (WSS) 1.0 がサポートされます。WSS 仕様の詳細については、次の URL にある「OASIS Web Services Security TC」を参照してください。

http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss

WSS は、メッセージの機密性、整合性、および SOAP メッセージでのセンダ認証を実現するためのフレームワークを定義します。

AquaLogic Service Bus で WSS を使用することにより、デジタル署名または暗号化、あるいはその両方を使用するメッセージを保護できます。WSS は、転送レベルのセキュリティとしては使用できませんが、エンド ツー エンドのメッセージで機密性および整合性を確保するのに適しています。SOAP エンベロープの一部の要素のみに署名または暗号化、あるいはその両方を適用し、残りの要素には署名または暗号化を適用しないことが可能であるため、SSL よりも柔軟性に富んでいます。WSS と AquaLogic Service Bus の機能を結合して、メッセージのコンテンツに基づいてデータのルーティングの決定およびトランスフォーメーションを行うと非常に強力です。

現在 AquaLogic Service Bus では、HTTP/S および JMS を介した WSS がサポートされます。

詳細については、『BEA AquaLogic Service Bus ユーザーズ ガイド』の「着信メッセージおよび発信メッセージの保護」で「メッセージレベルのセキュリティ」を参照してください。

 

---

コンフィグレーション メタデータのエクスポートおよびインポート

AquaLogic Service Bus Console では、AquaLogic Service Bus リソース コンフィグレーションをメタデータとして保存し、他の AquaLogic Service Bus ドメインへのインポート用に JAR ファイルとしてエクスポートできます。コンフィグレーションをデプロイする前に、AquaLogic Service Bus Console の Change Center でコンフィグレーション設定をカスタマイズすることで、新しい環境の要件を満たすことができます。この機能により、AquaLogic Service Bus リソース コンフィグレーションの環境を、ステージング、テスト、プロダクションという順序に従って移行させていくことができます。

ソース コード コントロール システムの機能とコンフィグレーション JAR ファイルを組み合わせると、AquaLogic Service Bus コンフィグレーションのバージョン管理および変更管理を行うことができます。

AquaLogic Service Bus Console を使用してコンフィグレーション メタデータのエクスポートおよびインポートを行う方法については、AquaLogic Service Bus Console のオンライン ヘルプで「システム管理」を参照してください。AquaLogic Service Bus Console の Change Center を使用して新しい環境用にコンフィグレーションを変更する方法については、AquaLogic Service Bus Console のオンライン ヘルプで「Change Center の使用」を参照してください。

 

---

ダッシュボード、システム メトリック、およびアラート

AquaLogic Service Bus では、実行時統計を集計し、カスタマイズ可能なダッシュボードに表示してシステム ヘルスをモニタできます。また、AquaLogic Service Bus Console を使用してシステムのパフォーマンスに応じたサービス レベル アグリーメント (SLA) を確立でき、SLA に違反した場合に自動的に応答するアラートをトリガするためのルールをコンフィグレーションできます。

ダッシュボード

AquaLogic Service Bus Console のダッシュボードには、サーバ別およびサービス別に分類されたシステム ヘルス情報が表示されます。個々のサーバ、サービス、およびアラートに関する概要ページを表示できるほか、詳細情報も表示できます。

ダッシュボードにはステータス情報が一定期間表示され、モニタ要件に応じて表示内容をコンフィグレーションできます。サービスごとにダッシュボードに表示できるメトリックを次の表に示します。

表 3-2 AquaLogic Service Bus サービスのメトリック

メトリック	説明
平均実行時間	プロキシ サービスの場合、転送におけるメッセージの受信時から例外処理時または応答送信時までの時間の平均を示す。 ビジネス サービスの場合、発信転送におけるメッセージの送信時から例外受信時または応答受信時までの時間の平均を示す。
メッセージの総数	サービスに送信されたメッセージの数。JMS プロキシ サービスで、例外によってトランザクションが中断され、メッセージが失われないようにキューに戻された場合、デキューが再試行されるたびに別々のメッセージとしてカウントされる。同様に、発信トランザクションの場合、再試行またはフェイルオーバのたびに別々のメッセージとしてカウントされる。
エラーによるメッセージ	エラー応答を伴うメッセージの数。 プロキシ サービスの場合、システム エラー ハンドラまたは返信失敗アクションによって終了される原因となったメッセージの数を示す。エラーがサービス内で処理され、返信が成功するか再開アクションが行われる場合、エラーとして扱われない。 ビジネス サービスの場合、転送エラーまたはタイムアウトの原因となったメッセージの数を示す。再試行およびフェイルオーバは別々のメッセージとして扱われる。
成功/失敗比率	(メッセージの総数 - エラーが発生したメッセージの数)/エラーが発生したメッセージの数。
セキュリティ	WS-Security エラーを伴うメッセージの数。このメトリックは、プロキシ サービスおよびビジネス サービスの両方で計算される。
検証	フロー内の検証アクションで失敗した数。このメトリックは、プロキシ サービスにのみ適用される。

 

これらのメトリックは、コンフィグレーションされた集約時間ごとに、クラスタ全体で集約されます。ダッシュボードにはシステム全体のヘルス情報が表示され、一定間隔で表示が更新されます。

AquaLogic Service Bus Console のダッシュボードの詳細については、AquaLogic Service Bus Console のオンライン ヘルプで「モニタ」を参照してください。

メトリックの集約

ダッシュボードに表示される情報は、システム処理時に収集されるデータの非同期集約に基づきます。AquaLogic Service Bus プロダクション クラスタ ドメインでは、AquaLogic Service Bus データ集約機能はクラスタ内のいずれかの管理対象サーバ上でシングルトン サービスとして実行されます。サーバ固有のデータ集約は、ドメインの各管理対象サーバで実行されます。集約機能は、一定間隔 (コンフィグレーション可能) ですべての管理対象サーバからデータを収集および集約します。

アラート

AquaLogic Service Bus にはサービス レベル アグリーメント (SLA) が実装されており、許容できないサービス パフォーマンス状態と、そのような状態において必要なシステム応答を指定するルールを定義することにより、SLA に違反した場合の応答を自動化できます。ルールの作成は AquaLogic Service Bus Console で行います。AquaLogic Service Bus で集約されたメトリック データが更新されるたびに、そのデータに対してルールが評価されます。

ルールの評価が True の場合は、アラートが発生します。WebLogic Service Bus Console のダッシュボードにアラートに関する情報が表示されるほか、ルールの評価が True の場合に実行するように指定したアクションが実行されます。以下のタイプのアクションのいずれかをルールに割り当てることができます。

• 電子メール通知を送信する
• JMS メッセージを送信する
• Web サービスを呼び出す
• WebLogic Server Logger にアラートを送信する

アラートには、特定の処理時間帯をコンフィグレーションすることもできます。たとえば、通常の営業時間にのみアラートが処理されるようにコンフィグレーションできます。

ルールとアラートの処理は、AquaLogic Service Bus Alert Manager が行います。Alert Manager は、システムのメトリック集約機能と同じ管理対象サーバ上で稼働します。

AquaLogic Service Bus SLA のコンフィグレーション方法については、『BEA AquaLogic Service Bus ユーザーズ ガイド』の「モニタ」で「アラート ルール」を参照してください。

 

---

メッセージ レポート

プロキシ サービスのコンフィグレーション時、メッセージ フローにレポート アクションを含めることができます。AquaLogic Service Bus のレポート データ ストリームに書き込まれる各メッセージに関する情報を、レポート アクションに指定します。JMS レポート プロバイダによってこのデータが取得され、レポート データ ストアの役割を果たすメッセージ レポート データベースに格納されます。レポート アクションのコンフィグレーション方法については、AquaLogic Service Bus Console のオンライン ヘルプの「プロキシ サービス」で「アクションの追加」を参照してください。

AquaLogic Service Bus Console のメッセージ レポート画面には、レポート データ ストアの情報が表示されます。メッセージ レポート画面では、特定のメッセージに関する概要情報を表示できるほか、詳細情報も表示できます。データをフィルタおよびソートすることで、レポート要件に応じてメッセージ レポート画面に表示される情報をカスタマイズできます。

注意 : メッセージ レポート画面に表示される情報は、レポート アクションを含むパイプラインを通過するメッセージに限定されます。

AquaLogic Service Bus Console には、メッセージ データの管理に便利なパージ機能が備わっています。その他のデータ管理機能については、レポート データ ストアのホストに使用しているデータベースに対して標準的なデータベース管理手続きを適用する必要があります。

レポート データ ソースとしてサポートされるデータベース プラットフォームの一覧については、『AquaLogic Service Bus 2.0 でサポート対象のコンフィグレーション』の「サポート対象のデータベース コンフィグレーション」を参照してください。