针对大型集团类客户建设统一身份管理基础设施类系统时,在前期技术方案交流过程中,大多数客户都在问这种类似的问题:
1、我们应该采用分布式还是集中式的部署技术方案?
2、采用的部署技术方案对未来的管理有什么影响?
3、我们将来系统的业务分权管理的模式是什么样的?
4、系统建设完成后,如何满足我们集团不断增长的访问压力?
5、如此关键的业务系统,如何能保障我们业务的连续性?
本篇文章专门针对上述大型集团类客户建设统一身份管理系统过程中提出的相关问题,从系统部署方案层面对上述问题进行分析解答。
分布式部署方案根据大型集团单位对统一身份认证管理系统使用的实际需求,对整个系统的网络结构、网络选型、网络应用均按照先进性、成熟性、可靠性、开放性、安全性原则进行设计。在软件部署上采用集团内部署多套统一身份认证管理系统的分布式交换原则。
该方案遵循以下原则和方法:
独立性:各单位分别部署,分别由各自独立的服务器、网络及应用系统;根据各自的管理体系进行架构,对于集团内每个单位业务种类或者行业偏差较大的时候,系统可以相对独立;
分布式交换:每套系统内部通过服务器进行数据等的交换,单位与单位之间通过专用的文件加密传输交换系统进行交换;集团管控的枢纽是文件加密传输系统(数据交换中心)。
可扩展性:系统设计能在不中断服务的情况下提供横向和纵向的扩展能力。
可靠性:由于系统一旦出现故障,将对整个系统的用户造成影响,要求系统具有很高的可靠性,并有完整的应急措施,比如采用双机热备模式。
分布式部署示意图
该方案具有如下特点:
在实施过程中可以很方便地实行分步实施,降低实施风险,可分单位逐步进行部署;可以在各独立系统上线运行成功的基础上,最后部署交换中心即可。
危险分散:由于各系统相对独立,系统安全性大幅度提高,单个服务器故障仅影响一个单位而不会影响到整个大系统;
管理上独立:各单位各自建立自己的系统,系统管理员由本单位人员担任,便于管理和维护;同时各单位也可以根据自身情况灵活地对系统进行配置而不会受其他单位的影响;
内部访问速度快:由于各单位独自一套系统大多数访问通过局域网进行,内部访问数度快,对互联网依赖小,对互联网的带宽要求减少。
大容量、大负荷能力:分布式系统便于减轻网络负担,降低对服务器等设备的要求,在提供大量用户同时上线方面具有明显的优势。
要实现分布式部署的关键技术是解决统一身份数据一致性的问题。
可以采用的处理方式,比如,由集团统一建设身份中心,各分支机构分别从集团获取各自身份数据,以满足整个集团用户身份数据的一致性,从而使各分支机构的统一身份系统最终使用同一套用户数据,保障用户访问的最终体验一致。
但同时需要考虑数据同步过程中,数据同步延迟或者部分数据不一致带来业务影响,是否满足整体业务使用的需要。
数据一致性问题
集团与分支机构用户身份数据因同步或者复制造成的不一致,会对最终用户使用平台造成困扰,需要用户接受可以容忍的数据损耗或者不一致对业务造成的影响。
说明:
需要在前期设计过程中充分考虑数据同步一致问题,以及数据同步不一致问题的处理预案,从而判断是否满足用户使用最终业务的连续性。
硬件费用较高
由于采用分布式部署方式,每个单位都需要部署一套独立的硬件系统(服务器、防火墙等)和软件系统(统一身份管理系统的访问模块),前期相对投入较大。
说明:
分布式部署本身的最大优势就在于对互联网依赖小,硬件要求较低,所以从长期使用成本上看,由于可以节约租用高速的互联网光纤、高档次备份设备等费用,实际投入并不是简单的算术累加。
集中式部署方案根据大多数企事业单位及集团单位的统一建设统一管理的需求,按照先进性、高可靠性、易维护性、高性价比的原则进行设计和部署。在实际部署上采用总部建立一套统一身份认证系统供集团内所有用户访问的方式。
该方案遵循以下原则和方法设计:
先进性:该系统必须具有先进的技术架构及支撑大量用户访问的设计,包括大并发下的缓存技术、页面异步数据交换等等最新的互联网技术。
安全性:由于用户所有数据和文件都在该系统上,该系统需要具有非常高的安全性,除软件自身要有各种安全措施外,还需要提供硬件安全方案,如安全管理、防火墙、入侵防御系统等等。
可扩展性:系统设计能在不中断服务的情况下提供横向和纵向的扩展能力。
可靠性:由于系统一旦出现故障,将对整个系统的用户造成影响,要求系统具有很高的可靠性,并有完整的应急措施,比如采用双机热备或者异地数据中心系统平行建设的模式等。
集中式部署示意图
该方案具有如下特点:
统一身份建设管理:由于系统所有用户单位共用同一套统一身份认证管理系统,统一管理集团的身份信息,下级单位可以通过分级分权的模式管理各自单位的用户信息。构建统一身份管理认证的基础设施,避免集团内部身份重复建设,降低业务获取身份与认证建设的额外层本。
快速集中部署:由于系统主要设备都部署在集团总部,集团成员单位对网络等的要求相对降低,可以在集团部署后迅速部署。
维护方便:由于只在总部部署一套系统,所以容易建设同时系统维护比较方便。
采用集中式部署方案的关键技术是单系统在大并发用户使用的时候的性能,除此之外,最核心的问题是要有完善的后备服务机制,通常这两个问题可以分别通过软件和服务器配置等的优化解决大并发用户使用,通过双机热备解决系统的可靠性问题,同时可以通过异地数据中心平行建设同等系统的方式解决系统访问连续性的问题。
采用先进的多层体系结构设计应用软件,降低系统对支持工作单一服务器的要求。采用连接池技术,进一步提高系统的运行效率,采用对象数据缓存技术,以内存换效率。大幅度的降低数据库的访问频度,大大提高了效率。
采用双机热备系统自动检测服务器工作状态,当主服务器出现故障的时候自动转换到从服务器,避免出现系统访问时的单点故障,从而确保系统的可靠性,保障业务访问的连续性。
成员单位访问速度慢
各成员单位所有人都必须通过外网或者专线进行访问,网络速度成为瓶颈。
说明:
由于集中式部署除集团本部之外,其它单位都需要通过互联网或者专网等进行访问,对集团本部的网路带宽提出比较高的要求。
系统访问瓶颈压力
因为采用集团集中部署的模式,需要考虑3~5年内系统用户增长所带来的访问压力的问题。
说明:
由于建设采用集中式部署的模式,在建设初期集团需要充分评估最终用户访问量,从平台设计容量、平台后期扩展方式上进行设计建设,以满足系统长期稳定使用的合理需要。
上述针对分布式部署方案与集中式部署方案,分别从设计原则,技术方案特点,关键技术与核心问题几个大的方面进行了说明,同时针对文章最开始提出的几个系统部署问题进行了相应的解答,大型集团类或者企事业单位如何建设统一身份管理这类基础设施系统,最终还是要依据各自信息化发展建设与业务层面的需要来决定自己的建设路径图。