XML SOA 网关 BestPracticesinDeployingSOAGatewaysCN.pdf

SOA 网关简介：最佳实践、优点和需求 了解SOA 网关的最佳实践和常见部署方案，以及它如何成为一个安全、强健和 可扩展的SOA 部署重要组成部分。 一、概述 现今基于Web 服务的面向服务架构（SOA），使服务用户和服务提供商能够通过 普遍的标准（比如XML 和SOAP ）交换消息。一般而言，企业使用SOA 项目达 成企业内部和外部贸易伙伴之间系统到系统集成的目标。SOA 部署是否成功主 要通过服务提供商服务的重用水平来衡量。一个成熟的SOA 是灵活、松散耦合 和敏捷的，使得用户应用程序能够与发布的服务提供商服务快速集成。为达成一 个成功的SOA 部署所需的服务提供商服务重用往往会与安全相冲突。服务提供 商。系统集成过程中的灵活性和安全性通常是两个截然相反的方向。集成使得其 它系统可以调用企业“开放”的内部系统，而安全性却要求企业通过访问控制和 数据加密来“锁定”业务信息。对于一个成功的SOA 部署来说，轻松简单且不 危害安全性系统集成尤为重要。过于严格的安全模型会降低易于集成的优势，而 过度开放的SOA 部署很少或根本没有考虑安全性，会带来灾难性的后果，尤其 对于那些涉及敏感和宝贵的企业数据系统。SOA 网关产品，如Forum Sentry （一 款获得美国联邦信息处理标准（FIPS ）和美国国防部（DoD ）认证的硬件设备） 以及Radware AppXML，可在快速集成和安全性之间提供必要的平衡，以成功的 部署SOA。 SOA 网关是SOA 部署过程中具有安全服务集成能力的核心基础架构组件。典型 的SOA 网关使用硬件设备进行部署，可以无缝地控制服务访问，通过数据级的 加密来保护信息，通过签名来确保消息的完整性，控制企业的信息流。本文重点 从服务虚拟化、消息的机密性和完整性、消息控制和内容审核方面来介绍 SOA 网关部署的最佳实践、优点与需求。 二、最佳实践：实现服务虚拟化和服务控制 说明：服务虚拟化——SOA 部署中最重要的操作，它是基于一个或多个 WSDL （Web 服务描述语言）文件创建虚拟服务的能力。这些WSDL 文件是通过服务 提供商应用程序（如应用服务器、RDBMS 、CRM 和ERP 系统）生成的。从下 面的图1 可以看出，跨越多个服务提供商系统的服务虚拟化可以通过一个位于服 务提供商和用户之间的SOA 网关来完成的。用户应用程序可以从SOA 网关来导 入虚拟服务， SOA 网关汇总和合并多个后端服务提供商服务到一个单独的 WSDL 和一个单独的入口点，而不是直接从各种服务提供商应用程序中导入服 务。服务虚拟化使企业可以只展示用户需要的特定业务服务而不是展示服务提供 商应用程序中所有的服务。通过向SOA 网关请求一个WSDL ，可以向用户展示 一组允许访问的虚拟服务。在图 1 所示的简单部署中，“内部”用户有权限使用 分别来自服务提供商应用服务器和业务应用程序的服务A-C 和D 、E 。然而，“外 部”用户，可能是某个供应商，只允许使用服务B 和 F 。由此可见，SOA 网关 作为一个中央控制点，通过访问控制策略和虚拟化，能够隐藏和保护服务提供商 1 服务，只显示用户可用的服务。 图1：通过SOA 网关实现服务虚拟化 优点：使用SOA 网关实现服务虚拟化，具有以下一些显著的优点：  连续性：虚拟化实现跨越多个WSDL ，将其中的服务合并成一个连贯单 一的WSDL ，提供授权的服务给客户。  安全性：虚拟WSDL 可以选择性地展示一些原始的WSDL 服务。 WSDL 端口是隐藏的，只有SOA 网关端口是公开的。通过基于证书的访问控制 来保护SOA 网关端口。  高效率：服务虚拟化实现了跨不同服务提供商服务的混合服务，无需复 制和粘贴想要的 WSDL 部分到新的 WSDL 文件中，从而提高了效率。 它能够对一个用户生成一个服务库，服务库中包含了该用户的组织机构 所支持的所有服务，而且只展示特定的用户需要的服务。 需求：SOA 网关需要