发布时间 : 星期日 文章联通内部门户技术规范更新完毕开始阅读
生产系统中的WebSphere Portal采用了集群(Cluster)架构的方式,为今后的应用扩容提供了扩展能力。今后门户系统的扩容可以采用2种方式:
水平(Horizontal)集群:通过新增服务器,在新增加的服务器上安装新的WeSphere Portal并加入现有集群;
纵向(Vertical)集群:通过在现有服务器上为集群再次加入已有的WebSphere Portal 节点。此种扩展方式会充分利用已有机器的闲置硬件资源(CPU,内存等)。
注:在全国门户系统中,建议使用水平群集加上垂直群集的方式(1水平+1垂直),充分保证系统的性能和高可用性;在总部和省公司门户系统中,建议首先使用水平群集的方式,在保证系统高可用性的基础上,再根据系统压力状况考虑是否需要配置垂直群集。 8.1.3 系统监控设计要求 8.1.3.1 目录服务 监控如下内容: ? ? ? ?
目录服务进程ibmslapd DB2数据库状况 DB2数据库的空间 Log文件
8.1.3.2 访问控制
监控如下内容:
? TAM policy server进程pdmgrd
? WebSEAL进程(webseal windows service或pdweb进程) ? Log文件
? Ffdc中是否有文件生成 8.1.3.3 身份管理 监控如下内容: ? WAS进程
? DB2数据库状况 ? DB2数据库的空间 ? LDAP(同目录服务) 8.1.3.4 门户 监控如下内容: ? HTTP服务 ? WPS进程
29
? DB2数据库状况 ? DB2数据库的空间 ? LDAP的可用性
注:对Portal进程和连接池使用情况可以使用Tivoli Performance Viewer监控,该工具可以在产品安装时选择。
生产系统中的WebSphere Portal采用了集群(Cluster)架构的方式,为今后的应用扩容提供了扩展能力。今后门户系统的扩容可以采用2种方式:
水平(Horizontal)集群:通过新增服务器,在新增加的服务器上安装新的WeSphere Portal并加入现有集群;
纵向(Vertical)集群:通过在现有服务器上为集群再次加入已有的WebSphere Portal 节点。此种扩展方式会充分利用已有机器的闲置硬件资源(CPU,内存等)。
注:在全国门户系统中,建议使用水平群集加上垂直群集的方式(1水平+1垂直),充分保证系统的性能和高可用性;在总部和省公司门户系统中,建议首先使用水平群集的方式,在保证系统高可用性的基础上,再根据系统压力状况考虑是否需要配置垂直群集。 8.1.4 备份和恢复设计要求 8.1.4.1 目录服务
备份如下的内容: ? IDS的配置文件
? etc目录的ibmslap.conf,在配置变化时备份。 ? IDS数据
? 采用数据导出的备份方式,编写备份脚本。每天全备份。 8.1.4.2 访问控制
备份如下的内容:
? Webseal的配置文件
? 安装目录下的文件备份。 ? TAM policy DB数据:
? 采用TAM备份命令,编写脚本。在策略变更,TAM user增加,变化时备份。 8.1.4.3 身份管理
备份如下的内容: ? IDS的配置文件
? etc目录的ibmslap.conf,在配置变化时备份。 ? IDS数据
? 采用数据库方式备份,编写备份脚本。每天全备份。 ? ITIM的配置文件
? ITIM的安装目录下conf目录,在配置变化时备份。 8.1.4.4 门户
30
WebSphere Portal的备份通常可采用:
? 在系统安装调试完毕后对WebSphere Portal安装目录做全备份,当WebSphere
Portal相关的资源发生改变时:主题和外表的增加和删除,新装Portlet和删除已有Portlet,再次对WebSphere Portal安装目录做全备份;日常维护期间可以使用增量备份,可以采用周备份的模式;
? WebSphere Portal DB2数据库采用周备份。 8.1.5 安全性设计要求 8.1.5.1 目录服务
? 特权帐户的安全 cn=root
为目录服务的超级帐户。需要妥善保护和授权该帐户的使用。 db2 instance owner
为目录服务使用的数据库的超级帐户。需要妥善保护和授权该帐户的使用。 ? 通信安全
开放端口,缺省为 389(非加密),636(SSL加密) 中国联通没有KPI系统,LDAP通信采用非加密方式。 ? 其他
应用使用目录服务时,应使用一个帐户连接目录服务,不用cn=root超级用户 使用ACL来授权用户使用目录服务 8.1.5.2 访问控制
? 特权帐户的安全 sec_master
为访问控制的超级帐户。需要妥善保护和授权该帐户的使用。 ? 通信安全
Policy开放端口,缺省为 7135 WebSEAL开发端口,缺省为7234
中国联通没有KPI系统,TAM与LDAP通信采用非加密方式。 WebSEAL与LDAP通信也采用非加密方式 ? 其他
保护TAM policy DB文件不被非法访问 8.1.5.3 身份管理
? 特权帐户的安全 itim manager
为身份管理的超级帐户。需要妥善保护和授权该帐户的使用。 cn=root
为ITIM使用的目录的超级帐户。需要妥善保护和授权该帐户的使用。 db2 instance owner
db2中保留历史,审计信息,需要妥善保护和授权该帐户的使用。 ? 通信安全
31
基于WebSphere,安全性由WebSphere控制
中国联通没有KPI系统,TIM与浏览器通信采用非加密方式。 TIM和IDI的通信不采用SSL TIM和Agent通信不采用SSL ? 其他
启用WAS的安全性,但不启用Java2的安全性。 8.1.5.4 门户
? 门户资源的授权
门户系统的安全性通过TIM进行访问控制,门户资源授权由Portal自带的个性化定制功能来实现 ? 通信安全
基于WebSphere,安全性由WebSphere控制
门户的管理客户端使用加密方式,端口需要安装时指定 Portal Server与LDAP通信采用非加密方式,端口389 8.1.6 接口要求
该部分主要针对基于LDAP系统开发的接口说明,在使用LDAP API时,有哪些方法可以使用,那些方法如何使用等,以下只是简单的说明,详细的接口说明和如何使用,参见相关的API说明。
? 所有的目录服务都必须提供一定的接口,以便于使用目录服务和管理目录服务,同
时为了能够在全国范围内方便的进行目录集成,要求所有的目录服务必须提供基于LDAP的应用程序接口(在RFC1823中定义),各种目录服务可以在此基础上进行相应的扩展。
? 使用的语言建议采用Java或者C完成。
? 本节定义的接口是LDAP协议中的基本数据接口,允许对其进行扩展。 8.1.6.1 访问接口
访问接口是指目录服务客户和目录服务主机进行会话的主要接口函数。一般要求所有的目录服务至少提供以下接口:
? Open:目录服务客户通过TCP协议与服务主机建立TCP通道; ? Bind类接口:初始化客户和服务器之间的通信会话; ? Unbind类接口:中止会话;
? Abandon类接口:取消全部处理中的请求; ? Search类接口:查找目录数据并返回结果;
? Compare类接口:检查一个目录项是否含有一个特定属性。 8.1.6.2 管理接口
管理接口是指目录服务管理程序或者客户对目录数据进行维护的主要接口函数。一般要求所有的目录服务至少提供以下接口: ? Modify类接口:更新一个目录项 ? Add类接口:添加新目录项
32