而且会把用户对用户目录服务的请求分配到其他的正在运行的用户目录服务器上,对外提供的用户目录服务不会因为其中一台的故障而中止。当出现故障的用户目录服务器恢复起来之后,用户目录服务器之间的复制机制会保证他们之间用户数据的一致性。
? 目录复制
两台Master服务,采用peer to peer的复制,Master和slave之间采用Master-Slave的复制。
图8-2 目录复制方式
全国应用使用Slave服务器进行认证。 二、总部/各省的目录的高可用性:
考虑到硬件投资和成本,在总部和各省可采用HACMP的方式来保证目录服务的高可用性。
? 基于共享存储空间的HA方式
图8-3共享存储空间的HA方式示意图
如上图所示,利用HA软件实现用户目录高可靠性和高可用性的实现方式中,HA环境中的这两台用户目录服务器需要共享同一个存储空间,这种共享的存储方式和存储介质可以根
26
据具体的硬件环境而有所不同,既可以通过光纤共享SAN环境中的硬盘阵列,也可以通过SCSI共享一个硬盘阵列中的存储空间。
在这个HA环境中,只有一台用户目录服务器处于运行状态,另外一台用户目录服务器处于停止状态。当处于运行状态的用户目录服务器出现任何故障而无法运行时,HA软件会负责做IP地址以及用户目录服务的切换工作,从而保证用户目录服务可以在另外一台处于停止状态的用户目录服务器上启动起来,并且对外提供用户目录服务。
在这个HA环境中,由于两台用户目录服务器之间采用共享存储空间的方式,因此两台用户目录服务器之间不需要进行用户信息的同步。 8.1.2.2 访问控制
一、全国访问控制系统的高可用性:
采用硬件的负载均衡设备为WebSEAL服务器提供高可用性
WebSEAL采用Session Failover的功能,通过WebSEAL的配置可用实现。在单台WebSEAL失效后,Load balance将请求发送到另一台WebSEAL,WebSEAL将使用Failover Cookie,使得用户无需再次登录。
采用AIX HACMP功能,TAM policy server采用Hot-Standby
Load BalanceL4 SwitchWebSEALSessionFailoverWebSEALTAM Policy ServerActiveHACMPTAM Policy ServerStandbyTAM db共享磁盘图8-4 全国门户负载均衡及HACMP
二、总部/各省的访问控制的高可用性:
总部有硬件的load balance,访问控制的高可用性采用和全国相同的架构。
27
各省采用软件的Load balance设备为WebSEAL服务器提供高可用性,使用WPS中的Edge server组件。
WebSEAL采用session failover的功能,通过WebSEAL的配置可用实现。 采用AIX HACMP功能,TAM policy server采用Hot-Standby
Edge ServerWebSEALSessionFailoverHAEdge ServerWebSEALTAM Policy ServerActiveTAM Policy ServerStandbyHACMPTAM db共享磁盘 图8-5 省分/总部门户负载均衡及HACMP
8.1.2.3 身份管理
一、全国身份管理的高可用性:
全国系统没有身份管理的需求。所有的身份管理都由总部和各省来完成。 总部/各省的身份管理的高可用性 身份管理的包含如下组件:
DB2数据库,采用HA方式。该DB2数据库和应用公用。 LDAP服务的高可用性参照目录服务高可用性。
由于硬件条件的限制,TIM使用的WAS服务器,采用单机的WebSphere。 在发生TIM服务器故障时,将不能执行用户身份管理。
TIM WASActiveIDSHACMPDB2 图8-6 全国用户管理
8.1.2.4 门户
28
生产系统中的WebSphere Portal采用了集群(Cluster)架构的方式,为今后的应用扩容提供了扩展能力。今后门户系统的扩容可以采用2种方式:
水平(Horizontal)集群:通过新增服务器,在新增加的服务器上安装新的WeSphere Portal并加入现有集群;
纵向(Vertical)集群:通过在现有服务器上为集群再次加入已有的WebSphere Portal 节点。此种扩展方式会充分利用已有机器的闲置硬件资源(CPU,内存等)。
注:在全国门户系统中,建议使用水平群集加上垂直群集的方式(1水平+1垂直),充分保证系统的性能和高可用性;在总部和省公司门户系统中,建议首先使用水平群集的方式,在保证系统高可用性的基础上,再根据系统压力状况考虑是否需要配置垂直群集。 8.1.3 系统监控设计要求 8.1.3.1 目录服务 监控如下内容: ? ? ? ?
目录服务进程ibmslapd DB2数据库状况 DB2数据库的空间 Log文件
8.1.3.2 访问控制
监控如下内容:
? TAM policy server进程pdmgrd
? WebSEAL进程(webseal windows service或pdweb进程) ? Log文件
? Ffdc中是否有文件生成 8.1.3.3 身份管理 监控如下内容: ? WAS进程
? DB2数据库状况 ? DB2数据库的空间 ? LDAP(同目录服务) 8.1.3.4 门户 监控如下内容: ? HTTP服务 ? WPS进程
29
? DB2数据库状况 ? DB2数据库的空间 ? LDAP的可用性
注:对Portal进程和连接池使用情况可以使用Tivoli Performance Viewer监控,该工具可以在产品安装时选择。
生产系统中的WebSphere Portal采用了集群(Cluster)架构的方式,为今后的应用扩容提供了扩展能力。今后门户系统的扩容可以采用2种方式:
水平(Horizontal)集群:通过新增服务器,在新增加的服务器上安装新的WeSphere Portal并加入现有集群;
纵向(Vertical)集群:通过在现有服务器上为集群再次加入已有的WebSphere Portal 节点。此种扩展方式会充分利用已有机器的闲置硬件资源(CPU,内存等)。
注:在全国门户系统中,建议使用水平群集加上垂直群集的方式(1水平+1垂直),充分保证系统的性能和高可用性;在总部和省公司门户系统中,建议首先使用水平群集的方式,在保证系统高可用性的基础上,再根据系统压力状况考虑是否需要配置垂直群集。 8.1.4 备份和恢复设计要求 8.1.4.1 目录服务
备份如下的内容: ? IDS的配置文件
? etc目录的ibmslap.conf,在配置变化时备份。 ? IDS数据
? 采用数据导出的备份方式,编写备份脚本。每天全备份。 8.1.4.2 访问控制
备份如下的内容:
? Webseal的配置文件
? 安装目录下的文件备份。 ? TAM policy DB数据:
? 采用TAM备份命令,编写脚本。在策略变更,TAM user增加,变化时备份。 8.1.4.3 身份管理
备份如下的内容: ? IDS的配置文件
? etc目录的ibmslap.conf,在配置变化时备份。 ? IDS数据
? 采用数据库方式备份,编写备份脚本。每天全备份。 ? ITIM的配置文件
? ITIM的安装目录下conf目录,在配置变化时备份。 8.1.4.4 门户
30