Проектирование сетевой инфраструктуры под SOA проекты...

‹#›

Артём Коломеец

Проектирование

сетевой инфраструктуры

под SOA проекты ASP.NET

ASP.NET Day

28.02.15

2Go

# C

on

fere

nce

s

Service Oriented Architecture

3Go

# C

on

fere

nce

s

Веб-сервис ИнструментыИнфраструктура

ASP.NET

Backend Services

Frontend (Api/Handler)

Facade (Pattern)

Contract (Interface)

Windows Server

IIS

Azure

HTTP (HTTPS)

TCP (WCF)

DMZ - Demilitarized

Zone

NLB - Network Load

Balancing

HA - High Availability

Cluster

TMG - Microsoft

Forefront Threat

Management Gateway

Fortigate

Технологии

4Go

# C

on

fere

nce

s

Решение бизнес задачи

Поддержка

Расширяемость

Нефункциональные требования

Требования к архитектуре проекта

5Go

# C

on

fere

nce

s

Архитектура простого проекта

Frontend

Backend

Data Access InternalFacade

Contract

ExternalFacade

6Go

# C

on

fere

nce

s

Публикация простого сервиса

HTTPS HTTP

TCPMSSQL

The best service

Database Internal

Client External

7

8Go

# C

on

fere

nce

s

Организация сети внутри компании

Internet

DEMILITARIZED

LAN

9Go

# C

on

fere

nce

s

Аутентификации и авторизация

Безопасность

Доступность

Мониторинг

Требования к инфраструктуре

10Go

# C

on

fere

nce

s

Инфраструктура - аутентификация

Использовать аутентификацию на стороне сервера

11Go

# C

on

fere

nce

s

Инфраструктура - аутентификация

Использовать аутентификацию на стороне сервера

Опираться на доступные в IIS способы аутентификации

12Go

# C

on

fere

nce

s

KerberosNTLM

Поддерживаемые типы Локальная аутентификация

Аутентификация домена

Аутентификация домена

Инфраструктура - аутентификация

Не использовать Windows NT LAN Manager

Способ аутентификации Запрос - ответ Концепция доверенной

третьей стороны (TTP)

Совместимые платформы Все платформы Windows Windows 2000 и поздние

UNIX

Взаимная аутентификация

Делегировании

аутентификации

Поддержка регистрации с

помощью смарт-карт

-

-

-

+

+

+

13Go

# C

on

fere

nce

s

Configuration locking

14Go

# C

on

fere

nce

s

Аутентификация сервиса

HTTPS HTTP

TCPMSSQL

The best service

Database Internal

Client External

Windows NTLM Windows Kerberos

15Go

# C

on

fere

nce

s

Инфраструктура - авторизация

Внутри домена для выдачи прав использовать группы

Active Directory

Для авторизации внешних пользователей использовать

сертификаты

INTERNET DEMILITARIZED LAN

16Go

# C

on

fere

nce

s

HTTP

HTTPS

TCPMSSQL

Database Internal

Client External

Windows NTLM Windows Kerberos

Best frontend

Best backend

Client Certificate Mapping

Windows Kerberos

Windows Kerberos

HTTPS

Разделение способов авторизации

17Go

# C

on

fere

nce

s

Инфраструктура - безопасность

Внешние сервисы должны быть защищены от DDOS

Для Web-сервисов не использовать настройки прокси,

распространяемые групповыми политиками

18Go

# C

on

fere

nce

s

Защита сервисов от внешней сети

HTTP

HTTPS

TCPMSSQL

Database Internal

Client External

Windows NTLM Windows Kerberos

Best frontend

Best backend

Proxy

HTTPS

Client Certificate Mapping

Windows Kerberos

Windows Kerberos

DDOS Prevention

19Go

# C

on

fere

nce

s

Подключение proxy в приложении

<system.net>

<defaultProxy useDefaultCredentials="true">

<proxy proxyaddress="proxyAddress" />

</defaultProxy>

</system.net>

20Go

# C

on

fere

nce

s

Инфраструктура - доступность

Доступность сервиса 99.9%

Network Loading Balancing

High Availability

21Go

# C

on

fere

nce

s

Network Loading Balancing

HTTPS

Client

Best frontend 1

Client Certificate Mapping

Windows Kerberos

DDOS Prevention

Balancer

Best frontend 2

22Go

# C

on

fere

nce

s

Инфраструктура - доступность

Доступность сервиса 99.9%

Network Loading Balancing

Stateless

Не хранить жёсткую привязку к ресурсам

Не хранить очереди

…

23Go

# C

on

fere

nce

s

Shared configurations

24Go

# C

on

fere

nce

s

High Availability

Best backend 1

Active DB

MSSQL

Mirror DB

MIRRORING

Balancer

Best backend 2

Windows Kerberos

Windows NTLM Windows NTLM

25Go

# C

on

fere

nce

s

Инфраструктура - доступность

Приложения должны уметь автоматически

переключаться на зеркало базы данных

<connectionStrings>

<add connectionString=“

Data Source=ServerAddress;

Failover Partner=MirrorServerAddress;

Initial Catalog=DataBase;

Integrated Security=True;“ />

</connectionStrings>

26Go

# C

on

fere

nce

s

Инфраструктура - мониторинг

GeoDNS сервисы должны иметь механизм, позволяющий

проверить сервис на работоспособность по всем

регионам

Мониторинг агенты разносить вместе с сервисом

DNS для мониторинга

27Go

# C

on

fere

nce

s

HTTP external-creams.com

Best backend

Proxy

external-creams.comeu.external-creams.com

external-creams.com

us.external-creams.com

external-creams.com

ai.external-creams.com

Публикации для мониторинга

28Go

# C

on

fere

nce

s

Инфраструктура - мониторинг

Клиентские сертификаты должны быть открыты для

возможности мониторинга их валидности

Local machine container

29Go

# C

on

fere

nce

s

Важные аспекты

HTTP

HTTPS

TCP

Internal

Client

Windows Kerberos

Proxy

HTTPS

Client Certificate Mapping

DDOS Prevention

Best backend 1

Active DBMirror DB

MIRRORING

Balancer

Best backend 2

Windows Kerberos

Windows NTLM Windows NTLM

Best frontend 1

Client Certificate Mapping

Windows Kerberos

Balancer

Best frontend 2

external-creams.com

external-creams.comeu.external-creams.com

external-creams.com

us.external-creams.com

external-creams.com

ai.external-creams.com

30Go

# C

on

fere

nce

s

1 ответственность – 1 владелец

Способность к расширению

Общение по средствам публикаций

Независимость от деталей реализации

Важные аспекты

‹#›

Go

# C

on

fere

nce

s

Артём Коломеец

Вопросы?