双活Novell认证系统架构的设计与应用

2017-12-27柴新

电子技术与软件工程 2017年17期

文/柴新

文/柴新

Novell身份认证系统是江苏省电力公司所有业务应用系统的统一访问入口，其运行健康情况直接关系到公司信息系统能否正常运行。为提高Novell身份认证系统的可靠性和稳定性，江苏省电力公司采用双活系统架构的方法对原系统进行了升级优化，有效提高了系统架构的稳固性，消除了系统承载能力瓶颈问题。该架构已在江苏省电力公司投入实际运行，效果显著。

Novell身份认证双活架构Access Manager

1 前言

在当前国网公司的信息化架构中，身份认证系统采用Novell公司的Access Manager(访问管理服务器)产品，为企业门户和各业务应用系统提供统一身份认证和单点登录访问，是企业信息系统的统一访问入口，承担着重要的基础支撑作用。

随着信息系统实用化工作的深入推进，访问企业门户的用户数在不断增加，用户的使用频度在不断上升，Novell认证系统所承受的访问压力随之在不断升高，其性能和架构稳固性面临考验。为保证Novell认证系统运行的稳定性和可靠性，江苏省电力公司采用双活系统架构的方法进行了架构改造。

2 身份认证系统当前架构存在的问题

江苏省电力公司Novell身份认证系统于2010年10月上线运行，接入了企业门户、国网统推系统等众多业务应用系统。系统架构为全省大集中架构，系统部署在省公司，由身份认证管理服务器(Identity Server，简称IDS)、访问网关(Access Gateway，简称AG)、管理控制台(Administration Console，简称AC)组成，IDS和AG均采用由多个节点服务器组成的集群架构，AC由两台服务器组成主备用关系的HA架构。IDS、AG被核心组件AC管理，由AC负责认证系统的配置和内部通信运行。

这种架构在系统上线初期能够满足稳定运行的需要，但由于Novell认证系统是用户访问门户的统一访问入口，随着用户数增多、接入系统增多、用户访问频度升高，认证系统已难以承受越来越高的访问压力，呈现出一些结构性弱点，表现为：

（1）IDS和AG是由多节点组成的集群架构，可以通过增加节点数量来提高IDS、AG承载能力，但是核心组件AC的架构却只是HA架构，同一时刻只有一个服务节点提供服务，不能通过增加节点数量来提高AC承载能力，特别是用户集中访问门户的上午早高峰时段，AC已成为承载能力瓶颈和稳定运行的薄弱环节。

（2）若AC的通信调度功能出现故障，则即使IDS、AG群集有多个节点也无济于事，整套认证系统会宕机，导致发生用户访问门户完全中断的严重故障。

基于以上情况，江苏公司对Novell认证系统的架构进行了改进，设计出了两套(或两套以上)Novell认证系统并行运行的新架构，即双活(或多活)架构，克服了以上结构性缺点，显著提升了系统承载能力和架构稳固性。

3 双活架构方案

3.1 架构设计原则

因为Novell认证系统是已投运系统，已有企业门户等大量系统与认证系统进行了集成，所以双活架构方案既不能缺失系统现有的任何功能，也不能改变系统现有的对外服务方式和数据接口，具体来说双活系统需要实现以下目标：

（1）Novell认证系统与业务系统的集成方式不能改变，也就是认证系统提供给业务系统的单点登录访问地址不能改变。

（2）用户的访问请求能够被分流到两套(或多套)认证系统上，而不能像单套系统架构一样全部访问请求集中到一套系统上，特别是核心组件AC的负载，要能够被两套系统均匀分担，以提高AC的承载能力和运行稳定性。

（3）Novell认证系统不仅支撑江苏公司范围内的用户单点登录访问，还在江苏公司与国网公司之间支撑正反向级联访问功能的实现，所以双活架构的Novell认证系统也需要能够支撑这一点，而且还需要保持对外提供的访问方式不变。

（4）双活系统在运行时不能有相互依赖关系，也就是说完全关闭掉其中一套系统，或关闭掉一套系统中的某些IDS或AG节点，除系统支撑容量有所减小外，系统提供的服务功能不变，这样才能避免出现一套系统宕机后用户访问门户完全中断的严重故障。

（5）双活架构要能够灵活扩展。能够根据访问压力，随时扩展系统套数，由双活系统变为三活、四活系统等，柔性适应用户访问压力。

3.2 双活架构实现方案

经过大量探索和测试，最终确定双活架构方案如下：

（1）在两套系统的Administration Console中，使用相同的DNS域名配置相同的认证地址。域名指向的IP地址是F5中为IDS设置的虚拟服务器IP，两套系统的IDS集群中所有IDS的IP地址都放置在F5虚拟IP对应的同一个POOL中。

（2）在两套系统的Administration Console中，将Proxy Service的metadata的 DNS域名和受保护系统的DNS域名均配置为相同，域名指向的IP地址是F5中为AG设置的虚拟服务器IP，两套系统AG集群中所有AG的IP地址都放置在F5虚拟IP对应的同一个POOL中。

F5为AG设置的虚拟服务器的会话保持方式需设置为source_addr方式，这是与单套认证系统设置的不同点，在单套认证系统中，该会话保持方式既可以为source_addr方式，也可以为cookie方式，但是在双活系统中必须设置为source_addr方式。

（3）将两套系统中IDS、AG使用的软件证书修改为一致。Novell认证系统安装完成后，系统会自动为IDS、AG生成软件证书，该证书是IDS、AG的身份证，每套系统都不相同用于唯一标识IDS和AG。将两套认证系统的软件证书修改成相同的目的，就是使两套系统的IDS、AG在Administration Console看来就如同是在一套系统内一样。

从第一套认证系统中导出IDS、AG证书，然后在第二套认证系统中，将导出的证书文件导入进来，并替换掉第二套系统对应的5个原有证书。证书替换完成后，第二套认证系统的IDS、AG所使用的软件证书就与第一套系统的证书完全一致，达到了两套认证系统的证书完全相同的目的。

3.3 切换到双活架构的步骤

江苏公司已将Novell认证系统的架构从单套系统升级为两套系统双活的架构，下面是切换步骤：

（1）安装第二套认证系统，按照本文中的描述进行配置。

（2）将F5中AG虚拟服务器的会话保持方式从cookie修改为source_addr方式。

（3）将第二套系统的IDS集群中的所有服务器IP地址都加入到F5中已有的IDS的POOL中，对AG也是如此。

切换完成。至此，Novell认证系统的架构已经从单活系统升级为双活系统架构，以上安装和切换过程具有下列显著特点：

（1）在线扩展、无缝切换，切换过程对用户访问企业门户完全无影响。

（2）所有安装配置和切换操作均在江苏公司内部完成，江苏公司所有操作对国网IDS平台完全透明，无需国网IDS平台配合进行任何操作，但江苏与国网公司之间的正反向级联功能能完全正常运行，而且级联访问请求被分流到了两套系统上。

4 双活架构优点和应用效果

双活架构Novell认证系统在江苏公司运行已有三年时间，运行实践充分表明，双活架构相对于以前的单活架构具有显著优点，表现在：

（1）双活架构中，由于每套系统的核心组件AC的负载降低，系统运行的稳定性得以增强，尤其表现在用户集中访问门户的上午早高峰时段系统运行很稳定，早高峰时段未出现过系统运行缓慢的现象。系统性能的关键指标“单台AG的Incoming Total Requests量”，由架构改造前的3万多次下降为3千多次，表明单台AG的负载大大下降，有利于AG运行稳定，系统运行的另一个重要指标“IDS LDAP Connection Waits”由架构改造前的100多下降为0，表明IDS的认证功能不再存在排队等候现象，性能明显改善。

（2）系统架构的稳固性增强。即使有一套系统完全宕机，系统对外服务也不会完全中断，江苏公司没有发生过因认证系统故障导致门户访问完全中断的事故。

（3）系统可灵活扩展。根据访问压力，可随时扩展系统套数，能柔性适应访问压力。这种扩展方式相对于在单套系统中增加IDS、AG节点数量的扩展方式具有明显优势。