ITBlogs

С этого же угла зрения стоит рассматривать MS DSI (в перевод на русский примерно так - инициатива компании Microsoft по управлению распределенными системами). Преподносимая как панацея, на сегодняшнем уровне эксплуатируемых приложений она работоспособна лишь в узких секторах. Вот, например, запустим MS Exchange 2007 в эксплуатацию - возможно, этот сектор ляжет под управление DSI-инструментов. И так далее.

серебрянной пули нет (с)

Грамотно написано. Ибо серебряной пули действительно нет, об этом еще в прошлом веке писалось (вон книжечка на полке стоит).

Я так подозреваю, что SOA выродится в сервисы для интеграции на уровне компаний, где связи достаточно слабы (например, передача заказа). Там это будет  наверняка удобнее.

Кстати, попытка создать кирпичики (медная пуля) - уже неоднократно вводилась как сверхдостежение. Вспомните DCOM и CORBA. И где они сейчас? : )

Анатолий, отлично описали все проблемы SOA. В общем-то большинство описанных их применительно к любой интеграции.

Ситуация как вы ее описали, конечно ужасна, но правда в том, что все эти приложения скапливаются у вас почти независимо от вашего желания.

Главный позитивный момент в SOA, что ищутся какие-то новые инструменты для решения этих проблем.

На самом деле пока предприятие маленькое все и без SOA и EAI прекрасно решается. Когда большое -- от CIO нужен уже методологический подход к учету приложений и их интеграции.

Я, кстати, сторонник того, что не нужно все усложнять. Если можно обойтись без EAI или SOA , значит так и надо жить.

Пара замечаний.

Про REFERENCE INTEGRITY. В традиционных EAI это решается за счет инициации событий об обновлении содержимого БД системы. Многие адаптеры к стандартным системам приводят запись в нормализованный вид, на ее базе проще потом обновлять другие приложения. Сейчас много говорят, что надо объединять SOA и MDA.

По стандартам для REFERENCE INTEGRITY в Web-сервисах см. http://www.konnasi.ru/_files/Web_Services_Borkus_PCWeek.pdf  

Там очень много всего, прочинать целиком вряд ли кто сможет, но есть и про транзакции.

В продуктах -- реализовано пока частично, только для ACID. Для сложных транзакций -- нет.

PS//А копирайт на придуманный мною слоган нарушать не надо. !!! :))))) А то нарушили, понимаешь, ссылочную целостность. :))))

2 Tolik

Для меня SOA -- не панацея. Об этом во вчерашней ветке и говорили.

Собственно у нас, пролучается, полный консенсус.

Что меня беспокоит -- есть тенденции развития ИТ, нынешней шумихой почти скрытые и превращенные в клоунаду. Это касается проблем управления сложными решенями.

Например, у меня стойкое ощущение, что производители ERP и смежного софта сами запутались в архитектуре своих систем, и пытаются как-то эту проблему решить за счет той же SOA.

Если, кстати, говоря им это удастся -- будет референтная модель как поступать с другими системами.

Анатолий,

>Проблемы начнутся при стандартизации бизнес-объектов, то, что я описал - это так, детский лепет, технические вопросы так или иначе порешат, тут у меня никаких сомнений, вопрос: "когда ?"

Еще не удержусь, задам Вам вопрос.

Каково ваше отношение к EDI, EDI/XML, ebXML, RosettaNet? Есть еще куча стандартов для отраслей -- HIPPA, HL7 и т.п.

> Проблемы начнутся при стандартизации бизнес-объектов

И глобальные. Как Владислав заметил, подвиги к этому уже есть. Но тут другой косяк - а что если существующего множества параметров в конкретном случае не хватит для описания предметной области? И тут начинается шоу, потому как метаинформация может отразить структуру, но не суть объекта. И потому даже самая строгая стандартизация - все равно негибкое решение. В общем - есть куда думать.

Хех, впервые встретил точку зрения по SOA близкую к практике и реальности :)

Все помнят что "SOA - это не готовая технология", но мало кто упоминает на что и как ляжет все это на практике.

Николай, обратите внимание на вывод в этой статье

"сказанное отнюдь не означает, что аффтар - злобный враг SOA. Подходы нормальные, мысли здравые, во многих случаях они вполне могут работать и сейчас. Автор - злобный враг подачи SOA как панацеи. "

Остальное -- профессионально сделанные иллюстрации из жизни ИТ-специалиста.

Не надо принимать их за тезис "в автомобиле надо масло менять, грязная, противная работа. Может нафиг это авто?".

Правда, в случае SOA получается, что руль хороший, а колеса у авто не годятся. Потому, и как быть с автомобилем в целом несяно :)

Ответ, наверное, разобрать на запчасти и ими пользоваться.

Анатолий, неабрел в тексте на проблему.

> Писать на каждый программу, вызывающую кучу веб-сервисов? Кстати. как там в стандартах со стандартами запроса коллекций объектов? Или хотя-бы с запросом объекта по условию? Вот надо мне в отчет всех сотрудников с фамилиями на "М".

Это как раз делается. Через XQuery. А для тех СУБД, что не поддерживают сервисы, навешать зонтик из EII. Они почти поголовно сейчас эту возможность дают, по-моему.

Что касается комбинации данных. В отчетную систему будут возвращаться коллекции XML. Думаю, что они будут уметь обрабатывать такие коллекции и вызывать сервисы.

на вопрос по производительности можно ответить просто: она на будет ниже примерно на порядок относительно прямых запросов.

При построении системы надо идти от нужд бизнеса. А бизнес не нуждается в зоопарке приложений, даже если они все супер-пупер новомодные и лучшие в своем класса (хотя что значит лучшие? Лучшие для кого и в какой ситуации?). И после анализа потребностей в большинстве случаев выясняется что лучше делать единую систему, а не бороться с набором сервисов. Хотя и набор сервисов в некоторых ситуациях удобен. Но, все таки, imho – SOA не для корпоративных систем.

Еще хочется поспорить по поводу некоторых аргументов поста:

1. «ввел кто-то клиента неверно - и хотим мы его удалить». Объекты не должны удаляться. Они должны переходить в состояние удален. И вообще объекты при любых изменениях должны оставлять историю. Например, даже если клиента ввели правильно, но у него со временем изменились реквизиты, для того, чтобы посмотреть платежки, выставленные год назад нужны старые реквизиты, для свежих – новые. Это относится не к SOA, а к IT ситемам вообще.

2. На промышленных системах внешние ключи часто отключаются для поднятия скорости обработки. т.е. при разработке (на тестовом сервере) все живет с ключами, но уже при переносе на полигон все идет без ключей. И в таком же виде идет на продуктив.

2 SunDest

Реплика

> При построении системы надо идти от нужд бизнеса. А бизнес не нуждается в зоопарке приложений, даже если они все супер-пупер новомодные и лучшие в своем класса

В параллельной дискуссии уже говорили, что зоопарк возникает сам, и, как правило, как раз от нужд бизнеса. Причины две

1) Ослабли на время контроль над тем, что внедряем -- для того, чтобы "быстрее" или "заточить"

2) Слияния.

Но, кстати, не так зоопарк и плох. Он для ИТ плох, а для бизнеса не всегда (не всегда плох не значит, что хорош).

SOA -- один из путей как с этим зоопарком разбираться.

В остальном все правильно.

2 Vlad Borkus:

В обоих приведенных случаях SOA выступает в качестве времянки и латания дыр. Если по недогляду или при объединении организовался бардак, то временно можно поставить заплатки так, чтобы все это жило, но на долгосрочный период надо проанализировать, понять и выбрать (или спроектировать) единую систему, которая будет удовлетворять потребностям.

Сейчас получается что хорошую идею SOA употребляют не к месту и прикрываясь ей узаконивают бардак.

2 SunDest

>Сейчас получается что хорошую идею SOA употребляют не к месту и прикрываясь ей узаконивают бардак.

Мне кажестя чуть не так. Идея (даже не идея, а шумиха вокруг) SOA возникла потому, что люди признали -- бардак будет всегда. Т.е. капитулировали и ищут пути, как в бардаке жить.

Это из области проблем оптимального соотношения порядка и хаоса.

Вот попалось на глаза -- с конференции SAP. Розничная сеть с оборотом 200 млн долл. Архитектура

80 % значимых операционных процессов поддержаны функциональностью SAP Retail. Включая ЦО, РЦ, офисы филиалов и до back-office магазина. Процессы планирования - не SAP система, но результат планирования в SAP. Интеграция. Хранилище данных (OLAP) – не SAP система. Интеграция. Формирование фискальной отчетности – не SAP система. Интеграция.

2 Vlad Borkus:

> люди признали -- бардак будет всегда

Кто признал? Бизнес покупает то, что ему рекламируют. Люди, которые принимают решения, обычно, очень далеки от IT и сами понять они не могут, но они верят тому, что им говорят. И чем больше говорить что бардак неизбежен, тем больше они в это поверят! Тем более когда сами видят что кругом бардак. Свое imho по поводу того кто чего понял и кому это выгодно написала здесь:

http://sundest.blogspot.com/2006/11/blog-post_22.html

Для коммента слишком много получилось.

А по поводу интеграции – интеграция не тоже что SOA. Сервисно-ориентированная архитектура идет от отдельных сервисов и, если надо, эти отдельные сервисы можно «подружить». А Интеграция может быть и в системах спроектированных как единое целое. SOA - это подход в архитектуре, а интеграция – это уже уровень реализации.

Tolik! Вы заменили SAP самописную систему?!

Вот этот крамольный прогноз

http://sundest.blogspot.com/2006/11/it.html

о том, что скоро опять начнется возврат к самописным системам был мной написан сегодня ночью. Вместе с постом крамольной мысли. Но выкладывать уже сил не было, т.ч. отложила до утра.

А тут выясняется что это уже и не прогноз совсем, а текущая жизнь!

> Не, мы ничего не меняли, у нас она с самого начала была самописная, потом её заменили другой самописной.

ИМХО, правильно сделали, потому как рихтовка стороннего ПО затребует те же ресурсы, нежели самописное, а в итоге бизнес-процессам будет соответствовать меньше из-за ограничений проектирования.

2 Tolik

>Слушай, есть предложение, на ТЫ, на брудершафт выпьем при удобном случае.

Договорились :)

>Проблема обмена данными более чем готова для стандартизации. В отличие от проблемы интеграции

систем на уровне вызовов.

Это очень близкие вещи, на самом деле WS ложатся и на EDI. В конце концов WS -- технологическая вещь, на

этом уровне все равно, что там по XML гуляет.

>Я так понял - стандартизируется доступ к бизнес-объектам, в базы никто напрямую не лезет. Или всё-таки

лезет? Если лезет - то не надо нам никаких SOA

Я могу сказать только про текущие тенденции. Сервисам ничто не может помешать работать на разных уровнях. И на уровне базы в том числе.

В идеальной архитектуре (с точки зрения SOA) напрямую в базу они лезть не должны, т.е. слои должны быть разделены. Должен быть оформлен сервис, к которому отправляется запрос бизнес-уровня, а он там ковыряется или не ковыряется в базе -- полностью скрывая это обстоятельство от конечного пользователя.

Скажем, по приведенным примерам мы предполагаем, что reusable будет сервис, который выдает данные клиентов по какому-то критерию. Вот его и кодируем в промежуточном слое.

Но можем поступить и по другому, ради эффективности, но в ущерб архитектуре. Если база поддерживает сервис запросов (в дополнение к SQL), то можем делать запросы как хотим.

На самом деле есть куча производителей EII, продукты которых обеспечивают доступ по WS. Судя по тому, что живут они неплохо, это востребованно в штатах.

>Объекты не должны удаляться

Еще соображение. Я с этим в остновном по области документооборота сталкивался. Есть такие вещи как аудит, проверки всякие и так далее. По прошествии 5 лет многое лучше удалять.

>Это означает поддержку ключей не в БД, а на сервере приложений.

Я так понял, что имеется в виду, что этим будет заниматься бизнес-приложение. Так поступают. В том же SAP есть, кажется, и такая песня.

>Заменяем SAP на самописанную систему - всё остальное - почти один в один.

Должны быть очень серьезные причины...

По SAP в смысле ее окупаемости, конечно, дела обстоят очень неоднозначно, но среди людей далеких от ИТ, SAP успешно внедрила мнение, что ее ERP = развитый бизнес. У компании повышается капитализция, легче брать кредиты.

Это главный SAP'овский козырь. Их брэнд.

>Интеграция - на уровне обмена данными - загрузка-выгрузка (см. про мое хорошее отношение к EDI и т.п.).

> Никто никого напрямую не вызывает, ибо незачем.

В той систуации, что описана, там действительно сервисы особо не нужны. Есть онлайновая учетная система, все, что к ней подключено -- как правило требует данных в оффлайне. Сервисы могут помочь только в

стандартизации API на техническом уровне. Если на будущее потребуется все более быстрый анализ данных.

Мне, если честно, ближе традиционные EAI. Я там вижу случаи, где они могут быть полезны (скажем, те же финансы). В общем-то это близко к идее репликации база-база, но с трансформацией данных в промежуточном слое.

В SOA мне нравится идея, что когда делаешь приложений, то нужно продумать его открытый API. То, что SAP, скажем, переписывает свои приложения под этот API. Или всякие коннекторы, будут его поддерживать, -- очень хорошо. То, что IBM, Microsoft и компания дадут инструменты для работы с этим API -- еще лучше.

Остается вопрос (он  уже выше обозначался) -- для чего все это делается? Применений получается с гулькин нос. Ну вот теперь рекламиру.т проектирование композитных бизнес-процессов силами не программиста, а бизнес-специалистов. Но по предыдущему опыту не верится, что можно будет обойтись без "спускания" на уровень программистов (аргументов уже приведено выше достаточно), да и для хоть-какой-то работы с SOA бизнес-аналитиков слишклом мало пока высокоуровневых сервисов .

Вот и получается -- что об API надо думать, ну а все остальное -- живем как обычно.

2 SunDest

>> люди признали -- бардак будет всегда

>Кто признал?

Если коротко, то SAP. Посмотрите на то, что они сейчас предлагают.

Внимательно слежу за обеими дискуссиями, предпочитаю не вмешиваться (видимо как и многие другие участники :-), т.к. считаю что все "правильные" слова по теме уже сказаны. Но после прочтения задумался - А какую же из актуальных для моей компании проблем СОА может решить уже сегодня? И вот к какому выводу пришел - похоже такое применение все-таки есть - у меня стоит приложение b2b на веб-сервере вне локальной сети компании по соображениям безопасности. По этим же соображениям нельзя открыть порты на маршрутизаторе для доступа к базе данных ERP системы для этого приложения, которая, естественно, находится уже внутри локальной сети. А доступ такой нужен чтобы узнавать информацию о платежах клиента, например. Сейчас обмен такой информацией происходит по расписанию через XML файлы. А вот если бы мы нафигачили веб-сервис к нашей ERP, который бы выдавал нужные данные, то можно было бы повысить оперативность обмена. Правда вопрос бы уже встал с безопасностью веб-сервера, который бы "отдавал" веб-сервис наружу (вот тут уважаемые профессионалы, наверно, подскажут мне как получше это реализовать).

Константин, вы по-моему ударили по "мягкому подбрьюшью" все нынешней технологии веб-сервисов -- безопасность. :) С ней довольно плохо. Но не совсем.

Прежде, чем двинемся дальше вопрос -- а сейчас как решаетс вопрос безопасности XML файла, который содержит (судя по всему) какие-то конфиденциальные сведения и безопасности данных в B2B-базе?

Вопрос не праздный -- каковы границы безопасности?

Дальнейшие ветки плучаются такие. Не хочется городить сложности, связанные с использованием WS-Security. Хотя, это тоже возможно.

Нам нужно обеспечить (как обычно):

1) аутентификацию запрашивающец стороны

2) защиту от подмены в процессе передачи

а) В минимуме хотелось бы безопасность можно ограничить SSL. Не использовать встроенные механизмы WS.

Если не нужно специально шифровать тело данных (XML передается в открытую), то остается вопрос аутентификации запрашивающей B2B системы. Web-сервис будет отвечать только ей.

Это делается настройкой firewall (прописываем правило: извне он будет пропускать только обращения от внешнего веб-сервера к внутреннему веб-серверу, т.е. пару определенных IP). Отвесать внутренний сервер имеет право тоже только по этому IP.

У внутреннего сервера должен быть свой выделенный IP. Возможны и варианты с динамическим IP, но тогда firewall -- система не динамически настраиваемая, придется разрешать доступ снаружи ко всем IP внутри.

Далее, можно аутентифицировать уже внешний веб-сервер на внутреннем средствами самого Web-сервера или по паролю-логину. Можно сделать так, что этот логин будет периодически (скажем раз в 5 минут) присылаться на сервер изнутри компании.

Это пока все без специфически Web-сервисных вещей.

Заметим, что конфигурация не устойчива -- можно взломать внешний веб-сервер и на нем обосноваться. Но это довольно обычные риски. Все что, можно при таком взломе достичь -- это получить данные от Web-сервиса и всю базу внешнего сервера.

б) Если "чисто" Web-сервисно. Получается нужно настраивать стек WS-Security. Его поддержка есть сейчас в серверах приложений IBM и в стеке, поддерживаемым Microsoft (точно будет в Indio и есть в BizTalk, с текущим статусом -- .Net точно не помню).  

Если совсем упрощенно, то WS-Security обеспечивает шифрование сообщений, их подпись и вставление в заголовки сообщений идентифицирующих запрашивающую сторону токенов.

WS-Security должен быть настроен на внешнем веб-сервере так, чтобы периодически запрашивать в некоей службе авторизации новый жетон на доступ к внутреннему серверу. Внутренний сервер будет его проверять -- опять-таки средствами стека WS-Security.

Для случаев, когда на веб-сервер невозможно поставить никакого другого софта, используют медиаторы -- они перехватыват SOAP и вставляют или очищают его заголовки от дополнительной информации, могут провести преобразование от HTTP в другой транспортный протокол (MQ, например). Заодно, ведут журналирование.

Ту конфигурацию, что вы описали, как раз пропагандирутеся идеологами делать таким способом.

Будет выглядеть так ( веб сервер внешний)-(медиатор)-(фаервол)-(медиатор)-(внутренний веб-сервер)-(ERP).

Типичный пример поставщика SOA Software, но есть и другие.

Disclaimer. Константин, это, кончено, приближенная картина -- я ответил так как сразу пришло в голову. Все-таки это  открытый форум. Может быть можно оптимальнее, но надо уже серьезно думать.

Может потом еще, что в голову придет, я дополню.

Влад! Спасибо за развернутый и профессиональный ответ, но система получится "тяжелой" и сложной в поддержке, особенно момент с заменой паролей каждые 5 мин мне понравился. Подожду пока с внедрением я думаю :-) Будем как и раньше XML файлы на FTP кидать. В самих файлах ничего особо критичного нет, поэтому мы их вроде даже не шифруем. В существующей системе нас не беспокоит безопасность веб-сервера, нас беспокоит доступ в нашу локальную сеть. Сейчас его ни для кого нет. А вот если я веб-сервисы поставлю - будет, вот об этом и говорим. Как я понял Ваш ответ именно эту проблему вы и предлагаете решать, но повторю - уж очень много звеньев, а кто ответить за риски связанные с таким "нагромождением"?

> Будет выглядеть так ( веб сервер внешний)-(медиатор)-(фаервол)-(медиатор)-(внутренний веб-сервер)-(ERP).

Это какая-то схема для полных параноиков. Не проще ли (фаервол) - (DMZ) - (вэбсервер,фаервол) - (ERP) ?

Разумеется, работа с WS по SSL, авторизация по сертификатам. На OSS такая схема собирается за день максимум.

>а кто ответить за риски связанные с таким "нагромождением"

Ну, это риторический вопрос :)))))

Если серьезно, то когда даже слегка приоткрывают внутренюю сеть, то всегда масса вопросов возникает.

Но есть действительно негативная нынешняя тенденция -- малооправданное переусложнение.

Создают новые "панацеи", а те открывают вновь казалось бы уже раньше проблемы, их героически решают, создают еще проблем.. Ходят, в общем, по кругу. Говорят, правда, что по спирали :)))))

С Java это было очень заметно.

2 booter

> Это какая-то схема для полных параноиков.

По сути -- это первый вариант. Просто я DMZ в схеме опустил, и так ясно, что она там есть.

Про сертификаты правильно вспомнил.

Ну, сейчас-то сеть вообще снаружи закрыта полностью.

> Ну, сейчас-то сеть вообще снаружи закрыта полностью.

Ну и правильно : )

Можно еще, кстати говоря, организовать Web-сервис на внешнем веб-сервере и вызываеть его изнутри сети, закладывая через него обновления. Добавив, конечно, авторизацию. Фактически, правда, получается аналог того, что есть сейчас с FTP.

2 Tolik:

Благодарю за придание стимула дискуссии, этот раунд которой я, к сожалению, пропустил. Обязательно выражу свое отношение к вышесказанному в другой раз, предположительно в своем блоге.

2 Vlad Borkus:

В WSS самый простой способ аутентификации -- это UsernameToken. Служба авторизации (WS-Trust? Kerberos?) в данном случае overkill.

> Можно еще, кстати говоря, организовать Web-сервис на внешнем веб-сервере и вызываеть его изнутри сети, закладывая через него обновления.

Именно для этих целей IBM придумал WS-Polling (см. http://www.w3.org/Submission/ws-polling/).

2 Konstantin Starovoytov:

WS-Polling позволяет третьей стороне принимать сообщения за настоящего адресата, когда взаимодействие происходит по модели one-way. Это очень похоже на схему SMTP/POP, в том числе и в том, что адресат всегда выступает клиентом и не должен открывать никаких inbound портов на своей стороне.

В России по этой схеме (и даже по этой спецификации) работает EDI-провайдер 1С:Сеть (http://v8.1c.ru/news/newsAbout.jsp?id=1208), кстати, с использованием упомянутого Владом WSS и даже WSRM. Там, помимо прикладных функций, связанных непосредственно с EDI, есть слой медиации, через который с EDI-процессами и происходит взаимодействие. Через него можно пускать и ваш трафик. Если интересно, могу дать доступ поиграться (пишите по личной связи).

2 feygin:

спасибо за предложение, появятся ресурсы - обязательно опробую эту модель, и обращусь!

2 Елашкин:

вот и первый практический результат от твоего проекта для меня, узнал принципиально новую для себя вещь по своей стандартной технологии получения знаний - ничего не делай, но при этом занимай правильную нишу, и нужная информация придет к тебе сама!

2 feigin

>Служба авторизации (WS-Trust? Kerberos?) в данном случае overkill.

Нет, конечно. Мы начали с нечетких требований по безопасности, потом их тут уточняли.

В изложенных потом ограничениях, самый простой способ пока вырисовывается с web-сервисом на внешнем сервере и SSL- защитой канала по двойному сертификату.

Можно и WSS подключать, а можно и нет. Он нужен для шифрования на уровне сообщений, а это не требуется здесь.

Относительно угрозы взлома внешнего сервера с дальнейшей атакой с него внутрь, WSS ничего, как видится,не даст.

Иначе говоря, в той конфигурации достаточно будет защиты по SSL.

WS-Polling, WSS и прочие неустоявшиеся протоколы добавляют сложности и стоимости, я бы без надобности не использовал.

Идеи - пожалуйста, протоколы -- нет.

Исходная постановка задачи была обеспечить онлайновость. А онлайновости обновлений, кстати, говоря, в этой конструкции нет. Это надо понимать. Разве что действительно запрос с внешнего сервера по почте отправлять, а потом внутри реагировать.

2 Константин

>ничего не делай, но при этом занимай правильную нишу

Не соглашусь. Не рабоает это. Так можно только какие-то урывки знаний получить. Куда заведет потом фрагментарная картина?

Ха, я же говорил, что машинка (идея) работает!

Народ узнает новое.

Vlad, действительно, это из последующих высказываний стало понятно, какая безопасность требуется. Согласен, что обоюдная аутентификация на уровне HTTP здесь самое разумное.

Отправление запроса по почте, вроде, тоже не особенно добавляет онлайновости. Что FTP, что POP, что WSP -- архитектура транспорта не меняется, и последний шаг остается за клиентом. Тут уж либо порт открывай и принимай напрямую, либо доставка данных окольными путями и тогда поллингом асихронно обновления получай (FTP-шным, почтовым или Web-сервисным).

Предметное обсуждение SOA началось и по-русски. Сколько ни пишут журналы на эту тему, дискуссии никак