При планировании сервисно-ориентированной архитектуры проекта крайне важно учитывать требования к работе сервиса в существующих реалиях Enterprise инфраструктуры. Если эти системы строятся независимо, то возникнут проблемы в размещении сервисов на боевом окружении, сложности управления, безопасности и надёжности. В докладе вы увидите подходы к проектированию инфраструктуры под сервисы и сервисов под инфраструктуру, а так же примеры борьбы со сложностью планирования инфраструктуры.

1. ‹#›
Артём Коломеец
Проектирование
сетевой инфраструктуры
под SOA проекты ASP.NET
ASP.NET Day
28.02.15

2. 2
Go#Conferences
Service Oriented Architecture

3. 3
Go#Conferences
Веб-сервис ИнструментыИнфраструктура
 ASP.NET
 Backend Services
 Frontend (Api/Handler)
 Facade (Pattern)
 Contract (Interface)
 Windows Server
 IIS
 Azure
 HTTP (HTTPS)
 TCP (WCF)
 DMZ - Demilitarized
Zone
 NLB - Network Load
Balancing
 HA - High Availability
Cluster
 TMG - Microsoft
Forefront Threat
Management Gateway
 Fortigate
Технологии

4. 4
Go#Conferences
Решение бизнес задачи
Поддержка
Расширяемость
Нефункциональные требования
Требования к архитектуре проекта

5. 5
Go#Conferences
Архитектура простого проекта
Frontend
Backend
Data Access InternalFacade
Contract
ExternalFacade

6. 6
Go#Conferences
Публикация простого сервиса
HTTPS HTTP
TCPMSSQL
The best service
Database Internal
Client External

7. 7

8. 8
Go#Conferences
Организация сети внутри компании
Internet
DEMILITARIZED
LAN

9. 9
Go#Conferences
Аутентификации и авторизация
Безопасность
Доступность
Мониторинг
Требования к инфраструктуре

10. 10
Go#Conferences
Инфраструктура - аутентификация
 Использовать аутентификацию на стороне сервера

11. 11
Go#Conferences
Инфраструктура - аутентификация
 Использовать аутентификацию на стороне сервера
 Опираться на доступные в IIS способы аутентификации

12. 12
Go#Conferences
KerberosNTLM
Поддерживаемые типы  Локальная аутентификация
 Аутентификация домена
 Аутентификация домена
Инфраструктура - аутентификация
 Не использовать Windows NT LAN Manager
Способ аутентификации  Запрос - ответ  Концепция доверенной
третьей стороны (TTP)
Совместимые платформы  Все платформы Windows  Windows 2000 и поздние
 UNIX
Взаимная аутентификация
Делегировании
аутентификации
Поддержка регистрации с
помощью смарт-карт
 -
 -
 -
 +
 +
 +

13. 13
Go#Conferences
Configuration locking

14. 14
Go#Conferences
Аутентификация сервиса
HTTPS HTTP
TCPMSSQL
The best service
Database Internal
Client External
Windows NTLM Windows Kerberos

15. 15
Go#Conferences
Инфраструктура - авторизация
 Внутри домена для выдачи прав использовать группы
Active Directory
 Для авторизации внешних пользователей использовать
сертификаты
INTERNET DEMILITARIZED LAN

16. 16
Go#Conferences
HTTP
HTTPS
TCPMSSQL
Database Internal
Client External
Windows NTLM Windows Kerberos
Best frontend
Best backend
Client Certificate Mapping
Windows Kerberos
Windows Kerberos
HTTPS
Разделение способов авторизации

17. 17
Go#Conferences
Инфраструктура - безопасность
 Внешние сервисы должны быть защищены от DDOS
 Для Web-сервисов не использовать настройки прокси,
распространяемые групповыми политиками

18. 18
Go#Conferences
Защита сервисов от внешней сети
HTTP
HTTPS
TCPMSSQL
Database Internal
Client External
Windows NTLM Windows Kerberos
Best frontend
Best backend
Proxy
HTTPS
Client Certificate Mapping
Windows Kerberos
Windows Kerberos
DDOS Prevention

19. 19
Go#Conferences
Подключение proxy в приложении
<system.net>
<defaultProxy useDefaultCredentials="true">
<proxy proxyaddress="proxyAddress" />
</defaultProxy>
</system.net>

20. 20
Go#Conferences
Инфраструктура - доступность
 Доступность сервиса 99.9%
 Network Loading Balancing
 High Availability

21. 21
Go#Conferences
Network Loading Balancing
HTTPS
Client
Best frontend 1
Client Certificate Mapping
Windows Kerberos
DDOS Prevention
Balancer
Best frontend 2

22. 22
Go#Conferences
Инфраструктура - доступность
 Доступность сервиса 99.9%
 Network Loading Balancing
 Stateless
 Не хранить жёсткую привязку к ресурсам
 Не хранить очереди
 …

23. 23
Go#Conferences
Shared configurations

24. 24
Go#Conferences
High Availability
Best backend 1
Active DB
MSSQL
Mirror DB
MIRRORING
Balancer
Best backend 2
Windows Kerberos
Windows NTLM Windows NTLM

25. 25
Go#Conferences
Инфраструктура - доступность
 Приложения должны уметь автоматически
переключаться на зеркало базы данных
<connectionStrings>
<add connectionString=“
Data Source=ServerAddress;
Failover Partner=MirrorServerAddress;
Initial Catalog=DataBase;
Integrated Security=True;“ />
</connectionStrings>

26. 26
Go#Conferences
Инфраструктура - мониторинг
 GeoDNS сервисы должны иметь механизм, позволяющий
проверить сервис на работоспособность по всем
регионам
 Мониторинг агенты разносить вместе с сервисом
 DNS для мониторинга

27. 27
Go#Conferences
HTTP external-creams.com
Best backend
Proxy
external-creams.com
eu.external-creams.com
external-creams.com
us.external-creams.com
external-creams.com
ai.external-creams.com
Публикации для мониторинга

28. 28
Go#Conferences
Инфраструктура - мониторинг
 Клиентские сертификаты должны быть открыты для
возможности мониторинга их валидности
 Local machine container

29. 29
Go#Conferences
Важные аспекты
HTTP
HTTPS
TCP
Internal
Client
Windows Kerberos
Proxy
HTTPS
Client Certificate Mapping
DDOS Prevention
Best backend 1
Active DBMirror DB
MIRRORING
Balancer
Best backend 2
Windows Kerberos
Windows NTLM Windows NTLM
Best frontend 1
Client Certificate Mapping
Windows Kerberos
Balancer
Best frontend 2
external-creams.com
external-creams.com
eu.external-creams.com
external-creams.com
us.external-creams.com
external-creams.com
ai.external-creams.com

30. 30
Go#Conferences
1 ответственность – 1 владелец
Способность к расширению
Общение по средствам публикаций
Независимость от деталей реализации
Важные аспекты

31. ‹#›
Go#Conferences
Артём Коломеец
Вопросы?