文/柴新

雙活Novell認(rèn)證系統(tǒng)架構(gòu)的設(shè)計(jì)與應(yīng)用

文/柴新

Novell身份認(rèn)證系統(tǒng)是江蘇省電力公司所有業(yè)務(wù)應(yīng)用系統(tǒng)的統(tǒng)一訪問(wèn)入口，其運(yùn)行健康情況直接關(guān)系到公司信息系統(tǒng)能否正常運(yùn)行。為提高Novell身份認(rèn)證系統(tǒng)的可靠性和穩(wěn)定性，江蘇省電力公司采用雙活系統(tǒng)架構(gòu)的方法對(duì)原系統(tǒng)進(jìn)行了升級(jí)優(yōu)化，有效提高了系統(tǒng)架構(gòu)的穩(wěn)固性，消除了系統(tǒng)承載能力瓶頸問(wèn)題。該架構(gòu)已在江蘇省電力公司投入實(shí)際運(yùn)行，效果顯著。

Novell身份認(rèn)證 雙活架構(gòu)Access Manager

1 前言

在當(dāng)前國(guó)網(wǎng)公司的信息化架構(gòu)中，身份認(rèn)證系統(tǒng)采用Novell公司的Access Manager(訪問(wèn)管理服務(wù)器)產(chǎn)品，為企業(yè)門戶和各業(yè)務(wù)應(yīng)用系統(tǒng)提供統(tǒng)一身份認(rèn)證和單點(diǎn)登錄訪問(wèn)，是企業(yè)信息系統(tǒng)的統(tǒng)一訪問(wèn)入口，承擔(dān)著重要的基礎(chǔ)支撐作用。

隨著信息系統(tǒng)實(shí)用化工作的深入推進(jìn)，訪問(wèn)企業(yè)門戶的用戶數(shù)在不斷增加，用戶的使用頻度在不斷上升，Novell認(rèn)證系統(tǒng)所承受的訪問(wèn)壓力隨之在不斷升高，其性能和架構(gòu)穩(wěn)固性面臨考驗(yàn)。為保證Novell認(rèn)證系統(tǒng)運(yùn)行的穩(wěn)定性和可靠性，江蘇省電力公司采用雙活系統(tǒng)架構(gòu)的方法進(jìn)行了架構(gòu)改造。

2 身份認(rèn)證系統(tǒng)當(dāng)前架構(gòu)存在的問(wèn)題

江蘇省電力公司Novell身份認(rèn)證系統(tǒng)于2010年10月上線運(yùn)行，接入了企業(yè)門戶、國(guó)網(wǎng)統(tǒng)推系統(tǒng)等眾多業(yè)務(wù)應(yīng)用系統(tǒng)。系統(tǒng)架構(gòu)為全省大集中架構(gòu)，系統(tǒng)部署在省公司，由身份認(rèn)證管理服務(wù)器(Identity Server，簡(jiǎn)稱IDS)、訪問(wèn)網(wǎng)關(guān)(Access Gateway，簡(jiǎn)稱AG)、管理控制臺(tái)(Administration Console，簡(jiǎn)稱AC)組成，IDS和AG均采用由多個(gè)節(jié)點(diǎn)服務(wù)器組成的集群架構(gòu)，AC由兩臺(tái)服務(wù)器組成主備用關(guān)系的HA架構(gòu)。IDS、AG被核心組件AC管理，由AC負(fù)責(zé)認(rèn)證系統(tǒng)的配置和內(nèi)部通信運(yùn)行。

這種架構(gòu)在系統(tǒng)上線初期能夠滿足穩(wěn)定運(yùn)行的需要，但由于Novell認(rèn)證系統(tǒng)是用戶訪問(wèn)門戶的統(tǒng)一訪問(wèn)入口，隨著用戶數(shù)增多、接入系統(tǒng)增多、用戶訪問(wèn)頻度升高，認(rèn)證系統(tǒng)已難以承受越來(lái)越高的訪問(wèn)壓力，呈現(xiàn)出一些結(jié)構(gòu)性弱點(diǎn)，表現(xiàn)為：

（1）IDS和AG是由多節(jié)點(diǎn)組成的集群架構(gòu)，可以通過(guò)增加節(jié)點(diǎn)數(shù)量來(lái)提高IDS、AG承載能力，但是核心組件AC的架構(gòu)卻只是HA架構(gòu)，同一時(shí)刻只有一個(gè)服務(wù)節(jié)點(diǎn)提供服務(wù)，不能通過(guò)增加節(jié)點(diǎn)數(shù)量來(lái)提高AC承載能力，特別是用戶集中訪問(wèn)門戶的上午早高峰時(shí)段，AC已成為承載能力瓶頸和穩(wěn)定運(yùn)行的薄弱環(huán)節(jié)。

（2）若AC的通信調(diào)度功能出現(xiàn)故障，則即使IDS、AG群集有多個(gè)節(jié)點(diǎn)也無(wú)濟(jì)于事，整套認(rèn)證系統(tǒng)會(huì)宕機(jī)，導(dǎo)致發(fā)生用戶訪問(wèn)門戶完全中斷的嚴(yán)重故障。

基于以上情況，江蘇公司對(duì)Novell認(rèn)證系統(tǒng)的架構(gòu)進(jìn)行了改進(jìn)，設(shè)計(jì)出了兩套(或兩套以上)Novell認(rèn)證系統(tǒng)并行運(yùn)行的新架構(gòu)，即雙活(或多活)架構(gòu)，克服了以上結(jié)構(gòu)性缺點(diǎn)，顯著提升了系統(tǒng)承載能力和架構(gòu)穩(wěn)固性。

3 雙活架構(gòu)方案

3.1 架構(gòu)設(shè)計(jì)原則

因?yàn)镹ovell認(rèn)證系統(tǒng)是已投運(yùn)系統(tǒng)，已有企業(yè)門戶等大量系統(tǒng)與認(rèn)證系統(tǒng)進(jìn)行了集成，所以雙活架構(gòu)方案既不能缺失系統(tǒng)現(xiàn)有的任何功能，也不能改變系統(tǒng)現(xiàn)有的對(duì)外服務(wù)方式和數(shù)據(jù)接口，具體來(lái)說(shuō)雙活系統(tǒng)需要實(shí)現(xiàn)以下目標(biāo)：

（1）Novell認(rèn)證系統(tǒng)與業(yè)務(wù)系統(tǒng)的集成方式不能改變，也就是認(rèn)證系統(tǒng)提供給業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄訪問(wèn)地址不能改變。

（2）用戶的訪問(wèn)請(qǐng)求能夠被分流到兩套(或多套)認(rèn)證系統(tǒng)上，而不能像單套系統(tǒng)架構(gòu)一樣全部訪問(wèn)請(qǐng)求集中到一套系統(tǒng)上，特別是核心組件AC的負(fù)載，要能夠被兩套系統(tǒng)均勻分擔(dān)，以提高AC的承載能力和運(yùn)行穩(wěn)定性。

（3）Novell認(rèn)證系統(tǒng)不僅支撐江蘇公司范圍內(nèi)的用戶單點(diǎn)登錄訪問(wèn)，還在江蘇公司與國(guó)網(wǎng)公司之間支撐正反向級(jí)聯(lián)訪問(wèn)功能的實(shí)現(xiàn)，所以雙活架構(gòu)的Novell認(rèn)證系統(tǒng)也需要能夠支撐這一點(diǎn)，而且還需要保持對(duì)外提供的訪問(wèn)方式不變。

（4）雙活系統(tǒng)在運(yùn)行時(shí)不能有相互依賴關(guān)系，也就是說(shuō)完全關(guān)閉掉其中一套系統(tǒng)，或關(guān)閉掉一套系統(tǒng)中的某些IDS或AG節(jié)點(diǎn)，除系統(tǒng)支撐容量有所減小外，系統(tǒng)提供的服務(wù)功能不變，這樣才能避免出現(xiàn)一套系統(tǒng)宕機(jī)后用戶訪問(wèn)門戶完全中斷的嚴(yán)重故障。

（5）雙活架構(gòu)要能夠靈活擴(kuò)展。能夠根據(jù)訪問(wèn)壓力，隨時(shí)擴(kuò)展系統(tǒng)套數(shù)，由雙活系統(tǒng)變?yōu)槿?、四活系統(tǒng)等，柔性適應(yīng)用戶訪問(wèn)壓力。

3.2 雙活架構(gòu)實(shí)現(xiàn)方案

經(jīng)過(guò)大量探索和測(cè)試，最終確定雙活架構(gòu)方案如下：

（1） 在 兩 套 系 統(tǒng) 的Administration Console中，使用相同的DNS域名配置相同的認(rèn)證地址。域名指向的IP地址是F5中為IDS設(shè)置的虛擬服務(wù)器IP，兩套系統(tǒng)的IDS集群中所有IDS的IP地址都放置在F5虛擬IP對(duì)應(yīng)的同一個(gè)POOL中。

（2） 在 兩 套 系 統(tǒng) 的Administration Console中， 將Proxy Service的metadata的 DNS域名和受保護(hù)系統(tǒng)的DNS域名均配置為相同，域名指向的IP地址是F5中為AG設(shè)置的虛擬服務(wù)器IP，兩套系統(tǒng)AG集群中所有AG的IP地址都放置在F5虛擬IP對(duì)應(yīng)的同一個(gè)POOL中。

F5為AG設(shè)置的虛擬服務(wù)器的會(huì)話保持方式需設(shè)置為source_addr方式，這是與單套認(rèn)證系統(tǒng)設(shè)置的不同點(diǎn)，在單套認(rèn)證系統(tǒng)中，該會(huì)話保持方式既可以為source_addr方式，也可以為cookie方式，但是在雙活系統(tǒng)中必須設(shè)置為source_addr方式。

（3）將兩套系統(tǒng)中IDS、AG使用的軟件證書(shū)修改為一致。Novell認(rèn)證系統(tǒng)安裝完成后，系統(tǒng)會(huì)自動(dòng)為IDS、AG生成軟件證書(shū)，該證書(shū)是IDS、AG的身份證，每套系統(tǒng)都不相同用于唯一標(biāo)識(shí)IDS和AG。將兩套認(rèn)證系統(tǒng)的軟件證書(shū)修改成相同的目的，就是使兩套系統(tǒng)的IDS、AG在Administration Console看來(lái)就如同是在一套系統(tǒng)內(nèi)一樣。

從第一套認(rèn)證系統(tǒng)中導(dǎo)出IDS、AG證書(shū)，然后在第二套認(rèn)證系統(tǒng)中，將導(dǎo)出的證書(shū)文件導(dǎo)入進(jìn)來(lái)，并替換掉第二套系統(tǒng)對(duì)應(yīng)的5個(gè)原有證書(shū)。證書(shū)替換完成后，第二套認(rèn)證系統(tǒng)的IDS、AG所使用的軟件證書(shū)就與第一套系統(tǒng)的證書(shū)完全一致，達(dá)到了兩套認(rèn)證系統(tǒng)的證書(shū)完全相同的目的。

3.3 切換到雙活架構(gòu)的步驟

江蘇公司已將Novell認(rèn)證系統(tǒng)的架構(gòu)從單套系統(tǒng)升級(jí)為兩套系統(tǒng)雙活的架構(gòu)，下面是切換步驟：

（1）安裝第二套認(rèn)證系統(tǒng)，按照本文中的描述進(jìn)行配置。

（2）將F5中AG虛擬服務(wù)器的會(huì)話保持方式從cookie修改為source_addr方式。

（3）將第二套系統(tǒng)的IDS集群中的所有服務(wù)器IP地址都加入到F5中已有的IDS的POOL中，對(duì)AG也是如此。

切換完成。至此，Novell認(rèn)證系統(tǒng)的架構(gòu)已經(jīng)從單活系統(tǒng)升級(jí)為雙活系統(tǒng)架構(gòu)，以上安裝和切換過(guò)程具有下列顯著特點(diǎn)：

（1）在線擴(kuò)展、無(wú)縫切換，切換過(guò)程對(duì)用戶訪問(wèn)企業(yè)門戶完全無(wú)影響。

（2）所有安裝配置和切換操作均在江蘇公司內(nèi)部完成，江蘇公司所有操作對(duì)國(guó)網(wǎng)IDS平臺(tái)完全透明，無(wú)需國(guó)網(wǎng)IDS平臺(tái)配合進(jìn)行任何操作，但江蘇與國(guó)網(wǎng)公司之間的正反向級(jí)聯(lián)功能能完全正常運(yùn)行，而且級(jí)聯(lián)訪問(wèn)請(qǐng)求被分流到了兩套系統(tǒng)上。

4 雙活架構(gòu)優(yōu)點(diǎn)和應(yīng)用效果

雙活架構(gòu)Novell認(rèn)證系統(tǒng)在江蘇公司運(yùn)行已有三年時(shí)間，運(yùn)行實(shí)踐充分表明，雙活架構(gòu)相對(duì)于以前的單活架構(gòu)具有顯著優(yōu)點(diǎn)，表現(xiàn)在：

（1）雙活架構(gòu)中，由于每套系統(tǒng)的核心組件AC的負(fù)載降低，系統(tǒng)運(yùn)行的穩(wěn)定性得以增強(qiáng)，尤其表現(xiàn)在用戶集中訪問(wèn)門戶的上午早高峰時(shí)段系統(tǒng)運(yùn)行很穩(wěn)定，早高峰時(shí)段未出現(xiàn)過(guò)系統(tǒng)運(yùn)行緩慢的現(xiàn)象。系統(tǒng)性能的關(guān)鍵指標(biāo)“單臺(tái)AG的Incoming Total Requests量”，由架構(gòu)改造前的3萬(wàn)多次下降為3千多次，表明單臺(tái)AG的負(fù)載大大下降，有利于AG運(yùn)行穩(wěn)定，系統(tǒng)運(yùn)行的另一個(gè)重要指標(biāo)“IDS LDAP Connection Waits”由架構(gòu)改造前的100多下降為0，表明IDS的認(rèn)證功能不再存在排隊(duì)等候現(xiàn)象，性能明顯改善。

（2）系統(tǒng)架構(gòu)的穩(wěn)固性增強(qiáng)。即使有一套系統(tǒng)完全宕機(jī)，系統(tǒng)對(duì)外服務(wù)也不會(huì)完全中斷，江蘇公司沒(méi)有發(fā)生過(guò)因認(rèn)證系統(tǒng)故障導(dǎo)致門戶訪問(wèn)完全中斷的事故。

（3）系統(tǒng)可靈活擴(kuò)展。根據(jù)訪問(wèn)壓力，可隨時(shí)擴(kuò)展系統(tǒng)套數(shù)，能柔性適應(yīng)訪問(wèn)壓力。這種擴(kuò)展方式相對(duì)于在單套系統(tǒng)中增加IDS、AG節(jié)點(diǎn)數(shù)量的擴(kuò)展方式具有明顯優(yōu)勢(shì)。

5 結(jié)束語(yǔ)

江蘇省電力公司摸索出的雙活認(rèn)證系統(tǒng)架構(gòu)，有效提高了系統(tǒng)架構(gòu)的穩(wěn)固性，解決了單套系統(tǒng)存在的承載瓶頸問(wèn)題，緩解了運(yùn)行壓力，方便了系統(tǒng)運(yùn)維，為江蘇公司信息系統(tǒng)的健康運(yùn)行提供了更強(qiáng)有力的支撐，值得借鑒和推廣。

[1]霍成義.結(jié)合Cookie與票據(jù)共享的單點(diǎn)登錄方案[J].自動(dòng)化與儀器儀表,2013,3:167-169.

[2]胡聰,姚振.基于VMware的Novell身份認(rèn)證系統(tǒng)虛擬化架構(gòu)實(shí)踐[J].電力信息化,2013,11(04):78-81.

[3]張敏.單點(diǎn)登錄與統(tǒng)一認(rèn)證解決方案[J].信息安全與技術(shù),2011(01): 68-69.

作者單位江蘇電力信息技術(shù)有限公司 江蘇省南京市210024

柴新(1974-)，男，山東省壽光市人。碩士研究生。工程師?，F(xiàn)供職于江蘇電力信息技術(shù)有限公司，從事電力信息化運(yùn)維工作。