2.1 拓朴

每个主要子系统的实例数量及其连接方式可能为数众多。 但并非所有可能的布局都能得到支持。 重要的是,除了了解各种可能性之外,还要了解应优先考虑某些配置的原因。

2.1.1 最小设计

此用户应用程序最简单的逻辑配置是一次安装所有项,包扩 Identity Vault 树、Identity Manager 引擎的实例和驱动程序,以及运行用户应用程序单一实例的 JBoss 实例。 在物理实现方面,理论上可以在一台计算机上运行所有的部件。 但是由于各种原因(它们之间的安全性、可维护性以及性能的要求),在实践中可能无法这样做。 在决定实际安装中所需的计算机数量时,应该(至少)考虑以下方面:

  • Novell Audit 服务器: 此组成部分负责在运行时从用户应用程序环境截获事件信息(可能还有大量的其它信息)。 它也可担当另一重任务:公司其它应用程序的永久储存库。 由于各种原因,您可能不希望将 Identity Manage 系统的其它主要组成部分(例如 JBoss 或 Identity Vault)与 Audit 服务器运行在同一台计算机上。
  • Identity Vault: 此部件通讯量巨大,需要良好的性能和可伸缩性。 您一定希望 Identity Vault 存在于专用计算机上。 换言之,您可能不希望其它高通讯量系统(例如部署了用户应用程序的 JBoss)与 Identity Vault 在同一台计算机上运行。
  • 数据库: 如果这个 MySQL(或其它支持的数据库)的实例也是 Novell Audit 数据库,它最好在专用计算机上运行。 请考虑由用户应用程序通过以下方式使用此组成部分:
  • 作为入口配置数据的永久储存库
  • 作为处理中工作流程状态信息的永久储存库(如果安装了预置模块)
  • 另外,还可作为 Novell Audit 的日志记录储存库。
  • JBoss: 由于性能和容量的原因,可能需要在专用计算机上运行此组成部分。

出于以上考虑,建议采用下面最少有 3 台计算机的配置:

说明:说明: 图示

2.1.2 高可用性设计

本章后面的部分中详细介绍了用群集来实现高可用性/功能。 目前,您应该了解:

  • Identity Manager 通过多节点安装以及共享储存机制支持 Identity Vault、引擎和驱动程序的高可用性。请参见主 Identity Manager 管理指南中有关《高可用性》的章节,以获取有关说明。 有关使用 SUSE Linux 设置这类系统的综合方案,请访问以下站点中的文章:

    http://support.novell.com/cgi-bin/search/searchtid.cgi?/10093317.htm

  • 通过 JBoss 群集,可获得用户应用程序的高可用性。 可以设置一个 JBoss 群集,使每个节点运行一个用户应用程序实例。 实例之间完全平等(对等)。 但实例间不存在会话复制。 每个实例都将负责自己的工作单元,而不会完成在姐妹节点上启动的会话。
  • 不支持自动故障转移(原因同上)。 但如果新节点上线时使用宕机节点的同一工作流程引擎 ID,中断的工作流程可以在失去该群集节点后再次恢复。 (在这种情况下,新工作流程引擎一旦启动,中断的工作流程将立即自动恢复。)

有关此问题的更多详细信息,仍请参见下文中的部分 2.4, 群集

2.1.3 设计限制

总的来说,需要了解的两个最重要的体系结构限制是:

  • 一个用户应用程序实例无法为超过一个的用户树枝提供服务(搜索/查询、添加用户等)。 此外,一旦用户树枝与应用程序相关联,此关联将是永久性关联。
  • 一个用户应用程序驱动程序无法与超过一个的用户应用程序相关联,但在同一 JBoss 群集的姐妹节点上安装用户应用程序的情况除外。 换言之,不支持驱动程序到用户应用程序的一对多映射。

第一个限制强化了用户应用程序设计中的高度封装。

假定具有以下组织结构:

说明:说明: 图示

安装用户应用程序的过程中,需要指定程序将在 Identity Vault 中查找的顶级用户树枝。 在这种情况下,您可以指定 ou=Marketing,o=ACMEou=Finance,o=ACME(任选其一)。 但不能同时指定两者。 所有用户应用程序搜索和查询(和管理员登录)的范围将设定在指定的树枝内。

注:理论上,可以指定 o=ACME 的范围包括《Marketing》和《Finance》。 但是在大型组织中,可能有多个 ou 树枝(并非只有与《Marketing》和《Finance》相关的两个树枝),因此在实际中这种方法可能行不通。

当然,可以安装两个独立的用户应用程序(不共享任何资源),一个用于《Marketing》,另一个用于《Finance》。 每个程序都拥有自己的数据库以及经过适当配置的用户应用程序驱动程序,此外,每个用户应用程序将进行单独管理,并可以具有唯一的主题。

如果确实需要将《Marketing》和《Finance》放置在一个用户应用程序的相同范围内,则可以考虑两种方法。 一种是在两个姐妹节点之上的层次中插入新树枝对象(例如 ou=MarketingAndFinance);然后指向新树枝作为范围的根。 另一种方法是创建一个组合了原始 ACME 树中所需部分的已过滤复本(一种特殊的 eDirectory 树),并指向位于复本根树枝处的用户应用程序。 (有关已过滤复本的更多信息,请参考《Novell eDirectory 管理指南》。)

如果您有关于特定系统布局的问题,请联系 Novell 代表以获取帮助或建议。