概念とアーキテクチャ
|
 |
 |
|
このトピックでは、AquaLogic Service Bus のシステム管理およびオペレーション モニタの概念について説明します。これは、AquaLogic Service Bus の管理とモニタに携わるシステム管理者およびオペレータを対象としています。内容は以下のとおりです。
AquaLogic Service Bus では、WebLogic Server のセキュリティ アーキテクチャおよびサービスを利用して、サービスとそのサービス クライアントの間でのセキュアなメッセージ交換をサポートします。WebLogic Server には、次のタイプのセキュリティ機能が実装されています。
これらの WebLogic Server セキュリティ プロバイダおよび WebLogic Server セキュリティ アーキテクチャ全般の詳細については、BEA WebLogic Server のセキュリティのドキュメントを参照してください。
AquaLogic Service Bus セキュリティでは、WS-Policy 仕様がサポートされます。WS-Policy 仕様の詳細については、次の URL にある「Web Services Policy Framework (WS-Policy) and Web Services Policy Attachment (WS-PolicyAttachment)」を参照してください。
http://specs.xmlsoap.org/ws/2004/09/policy/
WS-Policy には、メッセージのどの部分を署名および暗号化するか、およびどのセキュリティ アルゴリズムを適用するかが記述されます。また、メッセージ受信の際に使用する認証メカニズムも記述されます。
AquaLogic Service Bus Console では、サービスにセキュリティ ポリシーをコンフィグレーションし、そのインタフェース内のメッセージにセキュリティ ポリシーを適用できます。セキュリティ ポリシーの適用対象として、サービスを指定することも、サービスのオペレーションに関連する個々のメッセージを指定することもできます。サービスに対してセキュリティ ポリシーを指定した場合、そのサービスのすべてのメッセージにポリシーが適用されます。
AquaLogic Service Bus Console では、プロキシ サービスの転送レベルおよびメッセージレベルのセキュリティに必要な資格を管理することもできます。ビジネス サービスおよびプロキシ サービスのクライアント資格は、WebLogic Server を直接使用することによって管理します。
AquaLogic Service Bus では、オペレーションのレベルごとに異なる WebLogic Server セキュリティ プロバイダを使用できます。以下の節で、レベルごとに使用できるセキュリティについて説明します。
AquaLogic Service Bus のユーザ管理は、WebLogic Server の統合されたセキュリティ フレームワークに基づいて作成されています。このフレームワークにより、AquaLogic Service Bus Console では、任意のグループまたは個々のユーザに割り当てられたロールに関連付けられているセキュリティ ポリシーを基にしたタスク レベルの認可がサポートされます。WebLogic Server のセキュリティ フレームワークの詳細については、BEA WebLogic Server のセキュリティのドキュメントを参照してください。
AquaLogic Service Bus Console では、AquaLogic Service Bus のユーザ、グループ、およびロールを管理できます。AquaLogic Service Bus Console を使用して AquaLogic Service Bus のユーザ、グループ、およびロールを管理する方法については、『AquaLogic Service Bus Console の使い方』で「セキュリティ コンフィグレーション」を参照してください。
デフォルトでは、AquaLogic Service Bus ドメインで最初に作成されるユーザは WebLogic Server 管理者です。このユーザは、AquaLogic Service Bus のすべてのオブジェクトおよび機能にアクセスでき、ユーザ管理タスクを実行して AquaLogic Service Bus Console の機能へのアクセス制御を行うことができます。次の表は、AquaLogic Service Bus のユーザを割り当てることのできるデフォルトのロールおよびグループを示します。
AquaLogic Service Bus Console を使用して AquaLogic Service Bus のユーザ、グループ、およびロールを管理する方法については、『AquaLogic Service Bus Console の使い方』で「セキュリティ コンフィグレーション」を参照してください。
AquaLogic Service Bus では、転送レベルの機密性、メッセージの整合性、および一方向の要求または双方向 (要求/応答) の (クライアントから AquaLogic Service Bus への) トランザクションでのクライアント認証が HTTPS 経由でサポートされます。次のいずれかのクライアント認証を要求するように、HTTP(S) のプロキシ サービスまたはビジネス サービスをコンフィグレーションできます。
プロキシ サービスがアクティブになると、簡素な Web アプリケーションが生成されます。AquaLogic Service Bus は、セッション管理、クライアント証明書の検証および認証、信頼性の管理、およびサーバの SSL キー/証明書の操作といったサーバサイド SSL の部分で WebLogic Server に依存します。
AquaLogic Service Bus でサポートされる、HTTP 以外の転送方式での転送セキュリティは次のとおりです。
詳細については、『BEA AquaLogic Service Bus ユーザーズ ガイド』の「着信メッセージおよび発信メッセージの保護」で「転送レベルのセキュリティ」を参照してください。
AquaLogic Service Bus では、OASIS Web Services Security (WSS) 1.0 がサポートされます。WSS 仕様の詳細については、次の URL にある「OASIS Web Services Security TC」を参照してください。
http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss
WSS は、メッセージの機密性、整合性、および SOAP メッセージでのセンダ認証を実現するためのフレームワークを定義します。
AquaLogic Service Bus で WSS を使用することにより、デジタル署名または暗号化、あるいはその両方を使用するメッセージを保護できます。WSS は、転送レベルのセキュリティとしては使用できませんが、エンド ツー エンドのメッセージで機密性および整合性を確保するのに適しています。SOAP エンベロープの一部の要素のみに署名または暗号化、あるいはその両方を適用し、残りの要素には署名または暗号化を適用しないことが可能であるため、SSL よりも柔軟性に富んでいます。WSS と AquaLogic Service Bus の機能を結合して、メッセージのコンテンツに基づいてデータのルーティングの決定およびトランスフォーメーションを行うと非常に強力です。
現在 AquaLogic Service Bus では、HTTP/S および JMS を介した WSS がサポートされます。
詳細については、『BEA AquaLogic Service Bus ユーザーズ ガイド』の「着信メッセージおよび発信メッセージの保護」で「メッセージレベルのセキュリティ (Web サービス セキュリティ)」を参照してください。
AquaLogic Service Bus Console では、AquaLogic Service Bus リソース コンフィグレーションをメタデータとして保存し、他の AquaLogic Service Bus ドメインへのインポート用に JAR ファイルとしてエクスポートできます。コンフィグレーションをデプロイする前に、AquaLogic Service Bus Console の Change Center でコンフィグレーション設定をカスタマイズすることで、新しい環境の要件を満たすことができます。この機能により、AquaLogic Service Bus リソース コンフィグレーションの環境を、ステージング、テスト、プロダクションという順序に従って移行させていくことができます。
ソース コード コントロール システムの機能とコンフィグレーション JAR ファイルを組み合わせると、AquaLogic Service Bus コンフィグレーションのバージョン管理および変更管理を行うことができます。
AquaLogic Service Bus Console を使用してコンフィグレーション メタデータのエクスポートおよびインポートを行う方法については、『AquaLogic Service Bus Console の使い方』で「システムの管理」を参照してください。AquaLogic Service Bus Console の Change Center を使用して新しい環境用にコンフィグレーションを変更する方法については、『AquaLogic Service Bus Console の使い方』で「Change Center の使用」を参照してください。
AquaLogic Service Bus では、実行時統計を集計し、カスタマイズ可能なダッシュボードに表示してシステム ヘルスをモニタできます。また、AquaLogic Service Bus Console を使用してシステムのパフォーマンスに応じたサービス レベル アグリーメント (SLA) を確立でき、SLA に違反した場合に自動的に応答するアラートをトリガするためのルールをコンフィグレーションできます。
図 3-1 AquaLogic Service Bus ダッシュボード
AquaLogic Service Bus Console のダッシュボードには、サーバ別およびサービス別に分類されたシステム ヘルス情報が表示されます。サービスのヘルスでは更に、個々のサーバ、サービス、およびアラートに関する概要ページを表示できるほか、詳細情報も表示できます。
ダッシュボードにはステータス情報が一定期間表示され、モニタ要件に応じて表示内容をコンフィグレーションできます。サービスごとにダッシュボードに表示できるメトリックを次の表に示します。
これらのメトリックは、コンフィグレーションされた集約時間ごとに、クラスタ全体で集約されます。ダッシュボードにはシステム全体のヘルス情報が表示され、一定間隔で表示が更新されます。
AquaLogic Service Bus Console のダッシュボードの詳細については、『AquaLogic Service Bus Console の使い方』で「モニタ」を参照してください。
ダッシュボードに表示される情報は、システム処理時に収集されるデータの非同期集約に基づきます。AquaLogic Service Bus プロダクション クラスタ ドメインでは、AquaLogic Service Bus データ集約機能はクラスタ内のいずれかの管理対象サーバ上でシングルトン サービスとして実行されます。サーバ固有のデータ集約は、ドメインの各管理対象サーバで実行されます。集約機能は、一定間隔 (コンフィグレーション可能) ですべての管理対象サーバからデータを収集および集約します。
AquaLogic Service Bus にはサービス レベル アグリーメント (SLA) が実装されており、許容できないサービス パフォーマンス状態と、そのような状態において必要なシステム応答を指定するルールを定義することにより、SLA に違反した場合の応答を自動化できます。ルールの作成は AquaLogic Service Bus Console で行います。AquaLogic Service Bus で集約されたメトリック データが更新されるたびに、そのデータに対してルールが評価されます。
ルールの評価が True の場合は、アラートが発生します。WebLogic Service Bus Console のダッシュボードにアラートに関する情報が表示されるほか、ルールの評価が True の場合に実行するように指定したアクションが実行されます。以下のタイプのアクションのいずれかをルールに割り当てることができます。
アラートには、特定の処理時間帯をコンフィグレーションすることもできます。たとえば、通常の営業時間にのみアラートが処理されるようにコンフィグレーションできます。
ルールとアラートの処理は、AquaLogic Service Bus Alert Manager が行います。Alert Manager は、システムのメトリック集約機能と同じ管理対象サーバ上で稼働します。
AquaLogic Service Bus SLA のコンフィグレーション方法については、『BEA AquaLogic Service Bus ユーザーズ ガイド』の「モニタ」で「アラート ルール」を参照してください。
プロキシ サービスのコンフィグレーション時、メッセージ フローにレポート アクションを含めることができます。AquaLogic Service Bus のレポート データ ストリームに書き込まれる各メッセージに関する情報を、レポート アクションに指定します。次の図はレポート アクションの例です。
JMS レポート プロバイダによってこのデータが取得され、レポート データ ストアの役割を果たすメッセージ レポート データベースに格納されます。レポート アクションのコンフィグレーションについては、『AquaLogic Service Bus Console の使い方』の「プロシキ サービス」にある「アクションの追加」を参照してください。
AquaLogic Service Bus Console のメッセージ レポート モジュールには、レポート データ ストアの情報が表示されます。メッセージ レポート画面では、特定のメッセージに関する概要情報を表示できるほか、詳細情報も表示できます。
図 3-3 AquaLogic Service Bus ダッシュボードの [メッセージ レポートの概要] の例
データをフィルタおよびソートすることで、レポート要件に応じてメッセージ レポート画面に表示される情報をカスタマイズできます。
注意 : メッセージ レポート画面に表示される情報は、レポート アクションを含むパイプラインを通過するメッセージに限定されます。
AquaLogic Service Bus Console には、メッセージ データの管理に便利なパージ機能が備わっています。その他のデータ管理機能については、レポート データ ストアのホストに使用しているデータベースに対して標準的なデータベース管理手続きを適用する必要があります。
レポート データ ストアとしてサポートされるデータベース プラットフォームの一覧については、『AquaLogic Service Bus 2.0 でサポート対象のコンフィグレーション』の「サポート対象のデータベース コンフィグレーション」を参照してください。
UDDI (Universal Description, Discovery and Integration) レジストリは、Web サービスを共有するために企業で使用されます。このとき、UDDI サービスは、企業内や信頼できる外部パートナとの間でのサービスの共有や再利用を目的とした、サービスの編成やカタログ化に役立ちます。
図 3-4 AquaLogic Service Bus での UDDI の活用
この図は、分散型の企業が、UDDI レジストリを利用してサービスの再利用と共有を促進する方法を示したものです。この場合、UDDI レジストリに顧客クレジット サービスが登録されており、AquaLogic Service Bus の分散インスタンスで使用できます。
Web サービスの UDDI レジストリ サービスは、次の URL にある UDDI 仕様で定義されています。
http://www.oasis-open.org/committees/uddi-spec/doc/tcspecs.htm#uddiv3
UDDI レジストリは、この規格仕様に基づいています。仕様では、UDDI を使用して Web サービスに関する情報をパブリッシュおよび検索する方法の詳細が定められています。サービスの実行時の仕様は定義されません (単なるサービスのディレクトリです)。UDDI は、企業のビジネス、ビジネス サービス、および公開するサービスの技術的な詳細を分類するためのフレームワークを提供します。
BEA AquaLogic Service Registry は、AquaLogic Service Bus での動作が保証されている、バージョン 3 準拠の UDDI レジストリです。AquaLogic Service Bus には含まれていません。BEA から別途ライセンスを取得してください。
AquaLogic Service Registry については、次の URL にある製品ドキュメントを参照してください。
http://edocs.bea.com/alsr/docs20/index.html
AquaLogic Service Bus Console を使用すると、AquaLogic Service Registry またはバージョン 3 UDDI 準拠の任意のレジストリにアクセスでき、簡単に使用できます。AquaLogic Service Bus を UDDI と組み合わせて使用することにより、規格ベースの Web サービスの再利用が促進されます。この方法で、広範囲に分散したユーザが AquaLogic Service Bus リソースを検索および検出し、利用できるようになります。すべての Web サービスと UDDI は一連の規格に基づいて構築されるため、再利用により、テスト済みで受け入れ可能な Web サービスやアプリケーション開発の規格の使用が企業全体で促進されます。Web サービスとインタフェースは、タイプ、機能、または分類に応じてカタログ化すると、検索や管理がさらに容易になります。
UDDI レジストリを AquaLogic Service Bus で使用するようにコンフィグレーションでき、AquaLogic Service Bus のプロキシ サービスをレジストリにパブリッシュできます。レジストリをコンフィグレーションしてから、AquaLogic Service Bus プロキシ サービスをレジストリにパブリッシュします。レジストリ エントリには、特定のプロパティ タイプが関連付けられ、これらのプロパティ タイプはレジストリの作成時に定義されます。
AquaLogic Service Bus Console を使用して、プロキシ サービスを AquaLogic Service Registry にパブリッシュできます。プロキシ サービスを UDDI レジストリにパブリッシュする方法については、『AquaLogic Service Bus Console の使い方』の「システムの管理」の「UDDI レジストリへのプロキシ サービスのパブリッシュ」を参照してください。このためには、UDDI レジストリにアカウントを設定しておく必要があります。すべてのプロキシ サービスを UDDI レジストリにパブリッシュできます (サービスのタイプは、WSDL、メッセージング、すべての SOAP、すべての XML です)。
レジストリにあるサービスを AquaLogic Service Bus ビジネス サービスとしてインポートできます。AquaLogic Service Bus にビジネス サービスをインポートする方法については、『AquaLogic Service Bus Console の使い方』の「システムの管理」の「UDDI レジストリからのビジネス サービスのインポート」を参照してください。サポートされるサービスのタイプは、SOAP over HTTP バインディングの WSDL サービスおよび AquaLogic Service Bus プロキシ サービス (主にマルチドメイン デプロイメントで使用される) です。WSDL ベースのサービスをインポートするとき、複数の UDDI バインディング テンプレートが検出されると、バインディング テンプレートごとに新しいビジネス サービスが作成されます。
BEA AquaLogic Service Registry のパーミッションは、管理者がユーザのパーミッションを BEA AquaLogic Service Registry で管理し、さまざまなユーザ タイプのニーズに合わせたビューをレジストリに作成するために開発されました。AquaLogic Service Bus に設定されたユーザ パーミッションによって、レジストリへのアクセス、レジストリの内容、および使用できる機能が管理されます。
目標は、ビジネス アプリケーションで使用されるビジネス サービスやリソースを把握できるようにすることで社内の全員が恩恵を受けるようにし、複雑で多層的な問題を解決することです。エンタープライズ設計者は、サービスを必要とするユーザがサービスを見つけることができ、すでに存在するサービスを開発者が開発せずにすむ方法を必要としています。経営者は、サービスがテクノロジ、ビジネス ポリシーおよびアプリケーション規格に準拠していることを保証する必要があります。IT やビジネスの指導者は、ファイアウォールの内外でサービスの相互運用方法を制御できる必要があります。今日の企業におけるこのような基本的な要件は、サービス指向アーキテクチャ (SOA) の利点を活用することで満たされます。SOA は、ビジネス プロセスをエンタープライズ アプリケーションに確実に割り当て、アプリケーションの統合と再利用を進め、SOA サービスの有効な管理を促進します。多くの場合、コストは大幅に下がり、リソースも減少します。
|
|
|
![AquaLogic Service Bus ダッシュボードの [メッセージ レポートの概要] の例](wwimages/report_example2.gif "AquaLogic Service Bus ダッシュボードの [メッセージ レポートの概要] の例")
