内容


WebSphere Application Server V7 的系统管理,第 2 部分

新的管理拓扑

系列内容:

此内容是该系列 # 部分中的第 # 部分: WebSphere Application Server V7 的系统管理,第 2 部分

敬请期待该系列的后续内容。

此内容是该系列的一部分:WebSphere Application Server V7 的系统管理,第 2 部分

敬请期待该系列的后续内容。

引言

利用 IBM WebSphere Application Server 5.x 版本和 6.x 版本,可以管理完全独立的基本应用程序服务器节点或使用 WebSphere Application Server Network Deployment 以紧密耦合、同步的方式管理节点。对于单服务器环境而言,基本应用程序服务器节点易于设置和管理。Network Deployment 拓扑提供了附加的服务质量,例如高可用性、可伸缩性和数据复制;此外,它还提供了集中管理与部署管理器联合的节点的功能。随着使用 Network Deployment 拓扑构建了越来越多的环境,下列问题开始显现:

  • 如何远程管理基本节点?
  • 如何管理大量基本节点?
  • 如何管理多个 Network Deployment 单元?
  • 如何管理地理位置分散,并且可能通过高延迟、低带宽网络连接的基本节点或 Network Deployment 单元?

WebSphere Application Server V7 提供了使用以下两种新拓扑管理部署管理器单元和独立基本节点的功能,可帮助解决这些问题:

  • 管理代理拓扑。
  • 作业管理器拓扑。

管理代理拓扑提供使用单个管理服务器远程管理同一计算机系统上的多个基本节点的功能。与作业管理器拓扑组合使用时,可以远程集中管理大量基本节点。作业管理器拓扑也提供了管理多个部署管理器及其单元的功能。作业管理器取代对基本节点或 Network Deployment 单元的直接管理。在通过作业管理器进行管理的同时,可以使用 API 和命令管理您的现有环境。作业管理器还为管理提供了新的异步作业提交框架。这种组合使基本节点或 Network Deployment 单元可位于在地理上远离作业管理器自身的位置。

新拓扑通过提供新的、灵活的管理功能,补充和扩展了基本拓扑和部署管理器拓扑。如果您对 WebSphere Application Server 基本拓扑或 Network Deployment 的现有功能感到满意,则在迁移到 V7 时不需要做出更改。另一方面,如果您遇到上述问题,则可以根据您的现有基本拓扑或 Network Deployment 拓扑创建新的管理代理拓扑或作业管理器拓扑。

回顾基本拓扑之后,本文将继续讨论管理代理拓扑,介绍它如何支持远程管理同一系统上的基本节点。然后将回顾 Network Deployment 拓扑,接下来介绍作业管理器拓扑,以及它如何增强管理功能。本文最后讨论代理拓扑和作业管理器拓扑的安全注意事项。

WebSphere Application Server 基本拓扑

WebSphere Application Server 和 WebSphere Application Server – Express 产品(以下统称为“基本应用程序服务器”)为运行和管理应用程序提供了基本环境。基本应用程序服务器的管理域或单元包含单个节点和单个应用程序服务器。此单个应用程序服务器负责承载应用程序以及管理这些应用程序及其环境所需的所有管理服务。

当服务质量需求适度并且处理应用程序需求所需的服务器数目可管理时,基本应用程序服务器环境非常有用。例如,可以创建基本应用程序服务器环境以执行概念验证分析;为小型、单计算机环境中的少量应用程序提供服务;或者支持开发中的单元测试环境。可以创建多个基本应用程序服务器环境以处理更多容量,但随着此拓扑中的环境数目的增长,操作复杂性会增加,管理效率也会降低。

随着应用程序服务需求的增加,基本应用程序服务器环境将产生一些限制。在单个系统上创建多个基本应用程序服务器节点概要时,每个概要的管理服务会重复,从而提高物理内存需求和减缓初始化过程。由于每个概要只能管理单个应用程序服务器,因此必须彼此完全独立地管理每个服务器。由于管理进程在承载应用程序的同一台服务器上运行,因此无法远程循环使用服务器。停止应用程序服务器也会停止管理服务,因此必须在本地重启服务器。最后,需要管理基础结构来管理大量基本应用程序服务器。

图 1. 基本应用程序服务器拓扑
图 1. 基本应用程序服务器拓扑

设置和管理基本应用程序服务器拓扑

通过安装产品映像,然后使用 Profile Management 工具 (PMT) 或 manageprofiles 命令创建应用程序服务器节点概要来创建基本应用程序服务器拓扑。可以使用 wsadmin 工具和(如果安装)管理控制台来管理基本应用程序服务器。可以在单个操作系统映像上创建多个基本应用程序服务器概要;但是,必须彼此独立地管理每个概要。

管理代理拓扑

管理代理是 V7 中的新管理拓扑,旨在消除基本拓扑的限制。管理代理拓扑将管理进程与应用程序服务分离(图 2)。此拓扑提供以下好处:

  • 应用程序服务器仅用于运行应用程序。
  • 可以通过单个管理进程管理给定节点上的多个应用程序服务器。
  • 同一台计算设备上的多个节点可以向一个管理代理注册,在注册节点内隔离管理功能。
  • 由于每个应用程序服务器不产生重复的管理进程,因此可以更有效地利用系统资源。
  • 向管理代理注册的节点可以成为作业管理拓扑的组成部分,从而可以管理大量基本应用程序服务器。(请参阅下面的作业管理拓扑。)

管理代理拓扑由位于单个系统上的一个管理代理节点和一个或多个应用程序服务器节点构成(图 2)。向管理代理注册应用程序服务器节点后,可以使用管理控制台和 wsadmin 脚本工具从单个管理控制点管理这些节点。因为将管理功能从应用程序服务器节点委派到管理代理,所以管理代理拓扑可以更有效地使用资源。添加到系统中的每个附加应用程序服务器不再需要复制整个管理基础结构(图 3)。请注意,管理代理不提供集群、故障转移或多节点功能。在 WebSphere Application Server Network Deployment 中仍然提供这些功能。

图 2. 管理代理拓扑
图 2. 管理代理拓扑
图 2. 管理代理拓扑

与基本应用程序服务器和 Network Deployment 单元一样,可以选择使用管理控制台或 wsadmin 脚本对管理代理和注册到管理代理的节点进行管理。登录到管理代理控制台时,您指定是要管理管理代理还是管理注册到管理代理的任何节点。

图 3. 管理代理和基本应用程序服务器运行时
图 3. 管理代理和基本应用程序服务器运行时
图 3. 管理代理和基本应用程序服务器运行时

设置管理代理拓扑

设置管理代理拓扑:

  1. 安装 WebSphere Application Server V7
  2. 使用 Profile Management 工具创建管理代理和应用程序服务器概要。
  3. 向管理代理注册基本应用程序服务器概要。

如果熟悉部署管理器拓扑中的节点联合,您可能会注意到管理代理注册与部署管理器联合之间的相似性。虽然这两个过程很相似,但注意以下几点差异十分重要:

  • 当某个节点与部署管理器联合时,首先备份基本节点的配置,然后替换为包含节点代理的新配置。
  • 当某个节点向管理代理注册时,不备份基本节点的配置,而只是略微更改其配置。控制台和管理 EJB (MEJB) 应用程序被禁用,并使用指向管理代理的信息更新基本配置。对于注册到管理代理的每个基本节点,将创建新的托管节点配置对象。每个托管节点都拥有管理代理范围内的唯一名称。注册后,使用管理代理的端口更新基本节点的 wsadmin.properties 文件,这样将来的 wsadmin 命令将被定向到管理代理而非基本应用程序服务器。

而且,从部署管理器单元移除节点的方式与从管理代理取消注册节点的方式有所不同:

  • 从部署管理器删除节点时,将恢复在联合节点时备份的配置。
  • 从管理代理取消注册节点时,该节点将保留所有配置更改。这使管理员可以继续使用基本节点,而没有使用管理代理管理该节点的能力。

从部署管理器联合中删除某个基本节点之后,可以将该节点注册到管理代理。同样,从管理代理取消注册该节点后,也可以将该节点与部署管理器联合。

管理管理代理拓扑

如果尚未注册节点,则会显示管理代理控制台登录页,该页面与基本或 Network Deployment 环境的登录页类似。如果已经注册了一个或多个节点,管理控制台将先显示用于指定要管理的节点的页面。选择某个节点并单击继续后,将显示登录页(图 4)。

图 4. 选择目标节点并登录到管理代理控制台
图 4. 选择目标节点并登录到管理代理控制台
图 4. 选择目标节点并登录到管理代理控制台

登录到某个已注册节点的过程与登录到基本服务器控制台的过程非常相似。唯一的区别在于,现在可以为每个节点创建、修改、启动或停止多个应用程序服务器。

管理子系统

管理代理为向其注册的每个节点创建一个管理子系统。管理子系统彼此隔离,以避免对不同基本节点的管理发生干扰。为实现该目的,每个管理子系统必须符合以下条件:

  • 是用于管理基本节点的管理运行时的自包含副本。
  • 通过不同的 JMX 连接器端口集访问。
  • 使用它管理的基本节点的配置文件。因此,如果启用了安全性,则每个注册的基本节点可能配置了不同的用户注册中心。
图 5. 管理子系统
图 5. 管理子系统

保留基本管理编程模型

在基本应用程序服务器环境中提供整个管理运行时。向管理代理注册之后,由代理承担大多数管理功能。除管理控制台之外,管理代理还承担应用程序管理、配置服务和管理命令的功能,分别对应于 wsadmin 的 AdminApp、AdminConfig 和 AdminTask。

为了保留管理编程模型(在应用程序服务器本地提供对管理功能的访问),注册后在基本应用程序服务器中创建了代理。这些代理支持与 AppMgmt MBean、ConfigService MBean 和 RemoteCommandMgr MBean 相同的 API。对代理的调用被重新路由到管理子系统。代理也注册以侦听和重新发出来自 MBean 实现的通知。

如果使用 wsadmin,还应配置它以使用管理子系统的连接器端口。虽然 wsadmin 可以使用基本应用程序服务器端口运行,但是此配置增加了不必要的往返延迟、CPU 使用率和内存负载,这是由于 JMX 调用从应用程序服务器路由到管理代理,然后路由回应用程序服务器而导致的。

图 6. 应用程序服务器代理
图 6. 应用程序服务器代理
图 6. 应用程序服务器代理

z/OS 上的管理代理

图 7. zOS 跨 LPAR 管理代理拓扑
图 7. zOS 跨 LPAR 管理代理拓扑
图 7. zOS 跨 LPAR 管理代理拓扑

管理代理可以管理其运行所在的同一 LPAR 上的多个注册基本应用程序服务器节点。利用一些 z/OS® 平台特定的功能,它还可以管理位于同一 Sysplex 上的其他 LPAR 上的注册基本应用程序服务器节点。需要设置 Sysplex 以便在被管理的 LPAR 之间使用共享 HFS,这样管理代理就可以访问和管理所有这些基本应用程序服务器节点上的配置文件。管理代理还利用了 MVS Route 命令,因此可以跨同一 Sysplex 上的不同 LPAR 启动或停止注册的基本节点。通过使用交叉耦合设备 (XCF) 软件实现对注册基本节点的监视。管理代理及其注册节点加入 XCF 组,当其他成员加入或离开该组时,将通知组成员。

Network Deployment 拓扑

WebSphere Application Server Network Deployment 从版本 5 开始提供。利用 Network Deployment 可以从中心控制点管理多个应用程序服务器节点(通常分布在不同的计算机系统上)。Network Deployment 单元包含管理服务器(称为部署管理器)和一个或多个联合到环境中的应用程序服务器节点。

图 8. Network Deployment 拓扑
图 8. Network Deployment 拓扑
图 8. Network Deployment 拓扑

由于 Network Deployment 拓扑广为人知,因此这里仅提供简单说明。

设置 Network Deployment 拓扑

设置 Network Deployment 拓扑:

  1. 在计算机系统上安装 WebSphere Application Server Network Deployment V7。
  2. 创建一个部署管理器概要。
  3. 创建分布式应用程序服务器。如果希望应用程序服务器位于其他系统,则在每个系统上安装 WebSphere Application Server,然后使用 PMT 或 manageprofiles 实用工具在每个系统上创建一个和多个应用程序服务器概要。
  4. 将应用程序服务器概要与部署管理器联合。

管理 Network Deployment 拓扑

设置 Network Deployment 单元之后,可以使用管理控制台或 wsadmin 脚本从单个控制点管理多个分布式基本应用程序服务器节点。某个基本节点与部署管理器联合之后,应当只通过部署管理器管理该节点。如果拥有多个 Network Deployment 单元,则部署管理器管理工具在同一时间只能用于单个单元。例如,如果拥有两个单元,则必须分别登录到每个单元才能使用管理控制台管理该单元。

作业管理拓扑

作业管理拓扑是 WebSphere Application Server V7 的新增功能。此拓扑基于新作业管理器概要的使用,支持 WebSphere 环境的新型分布式管理。通过与 Network Deployment 单元的管理进行比较和对比,将有助于描述作业管理。

在 Network Deployment 环境中,各个节点、服务器、应用程序以及资源的配置信息集中在部署管理器中。部署管理器管理控制台提供配置信息视图以及单元的基础结构资源的状态视图。通过这些视图进行的配置更改更新在部署管理器配置存储库中,然后通过节点同步过程分发到联合的节点。跨节点同步配置信息是这种管理方式所固有的,可在部署管理器上进行配置更改时进行,或者可以稍后推出。无论是哪种情况,它都处于部署管理器的控制之下。部署管理器将通过这些视图调用的操作传达至相应应用程序服务器节点的节点代理。通常同步执行操作,并且只有在节点代理可用时才能执行。当节点代理不可用时,管理员无法调用该节点的任何操作。因此,可以将其看作紧密耦合的管理系统。

相反,作业管理器支持松散耦合、异步的管理方式。作业管理器不维护分布式资源的配置信息的集中存储库。它的控制台也不提供配置设置或当前资源状态的视图。相反,作业管理器为已向其注册的分布式资源维护管理操作存储库。向作业管理器注册之后,每个基本节点或部署管理器都成为该作业管理器的“托管节点”。作业管理器用于将管理操作(称为“作业”)提交至目标托管节点。可以将作业立即提交为可用,或者在计划时间和日期提交,也可以反复提交。

部署管理器和作业管理器在控制中心方面也有所不同。在 Network Deployment 拓扑中,部署管理器是控制中心;在部署管理器上发起的管理操作被推送到联合的应用程序服务器节点上。在作业管理拓扑中,控制驻留在注册节点上。作业在作业管理器上排队,然后注册节点定期检查队列中的可用作业。如果某个节点找到其可用的作业,会收下该作业并运行。

作业管理器可用于管理多个基本应用程序服务器和部署管理器单元。在这两种情况下,作业管理都可以作为其他管理形式的辅助手段。例如,在作业管理环境中(如图 8 所示),可以通过作业管理器管理控制台或作业管理器 wsadmin 工具将作业提交给注册到某个管理代理的基本节点和部署管理器单元。然而,也可以通过其各自的控制台管理部署管理器单元和基本节点。它们也可以注册到多个作业管理器并受其管理。

图 9. 作业管理拓扑
图 9. 作业管理拓扑
图 9. 作业管理拓扑

作业管理场景

此面向作业的管理方式在许多不同的场景中都非常有用。但是,它在以下这些场景中特别有用:

  • 分支机构:诸如零售商店之类的商业企业通常拥有中央数据中心,并且往往靠近企业总部,并拥有成百上千的地理位置分散的商店或分店。分店通常拥有几个独立的应用程序服务器,或者小型 Network Deployment 单元。这种小型的分支 IT 环境支持日常操作,并在本地进行管理。分支 IT 环境通常也连接到企业数据中心,后者可能与某些分店相距数千英里。通信通道可能是低带宽并且相对不可靠。面向作业管理的异步、基于计划、可伸缩的特性特别适合于从中央数据中心对分店执行定期管理操作。

    图 10. 地理分散的分支机构
    图 10. 地理分散的分支机构
    图 10. 地理分散的分支机构
  • 服务器机群:服务器机群包含大量运行不同配置应用程序服务器的低成本计算机或集群。单独地配置每台服务器是不切实际的,并且这些大型环境可能为同步分布式管理带来问题。作业计划功能可减少网络带宽的相关问题。

  • 多个 Network Deployment 单元:许多 IT 环境支持多个 Network Deployment 单元。V7 作业管理器可将部署管理器作为作业目标,并且还提供为单元内的特定资源定义作业的功能。因此,作业管理器为这些环境提供了单一管理控制点。有时这些单元在地理上分散,因此作业管理器处理网络延迟的能力十分适合这些场景。

设置作业管理拓扑

设置作业管理拓扑仅仅是创建作业管理器概要,然后向其注册应用程序服务器节点和部署管理器节点。为了将应用程序服务器节点注册到作业管理器,应用程序服务器必须先注册到同一系统上的管理代理。未向管理代理注册的基本应用程序服务器节点无法通过作业管理器访问作业。

  1. 在系统上安装 WebSphere Application Server Network Deployment V7。
  2. 在系统上创建作业管理器概要。
  3. 确保作业管理器和任何部署管理器及管理代理都已启动。
  4. 向作业管理器注册节点。
  5. 如果需要,调整节点上的作业轮询间隔。轮询间隔的缺省值为 30 秒,适合于初始测试或小型生产环境。更长的间隔时间适合于诸如分支机构网络之类的一些场景,并且对于大量托管节点是必需的。设置轮询间隔时,需要在运行作业管理器的系统的 CPU 容量与节点数目和节点轮询间隔之间取得平衡。

使用作业管理器

作业管理器为提交和跟踪应用程序服务器和部署管理器节点的作业提供了若干有用的功能。在控制台和 wsadmin 中都提供了这些功能。控制台提供了完整的命令帮助支持,可帮助新建作业管理器管理任务:

  • 作业类型:作业管理器包括大量预定义作业类型,可用于经常执行的任务。此外,还有用于运行 wsadmin 脚本的作业类型。
  • 搜索功能:在大型环境中可以轻松地定位和指定作业的目标、资源和状态。
  • 目标分组:可以对节点分组,这样就可以为不同的作业重用相同的“分发列表”。
  • 作业计划和有效期:可以让作业立即可用,或者在将来的某个时间点可用。可以计划作业以重复运行,或者在它们不再有用或无效时过期。
  • 作业状态:可以检索由作业管理器管理的所有作业的状态,并检索作业历史记录中的详细信息。
  • 电子邮件通知:您可以收到关于作业完成的电子邮件通知。

作业管理器控制台

作业管理器控制台是 WebSphere Application Server Network Deployment V7 引入的新管理控制台。与其他 WebSphere 控制台类似,作业管理器控制台基于 IBM 集成解决方案控制台 (ISC) 基础结构,并具有类似的导航和风格。它拥有一些新功能,用于支持新的灵活管理方式:

  • 作业管理器控制台作业提交向导可引导您逐步完成提交作业的选项。它通过提供可供选择的作业类型列表来提供帮助。它拥有搜索功能,可帮助查找作业目标和作业中使用的资源。为了简便、高效和灵活性,作业提交用户界面允许您通过个别目标名称或预定义的目标组来指定目标。

  • 大多数作业类型都拥有一个或多个必需或可选参数。向导显示所选作业类型的参数,并允许您输入值。当参数是诸如应用程序服务器之类的节点资源或集群时,向导将提供搜索功能以查找参数值。

  • 设置参数之后,可以计划作业对于其目标立即可用,或者在未来的某个日期和时间可用。作业不是永久可用。缺省情况下,它们在 24 小时内过期。或者,可以通过日期或经过的时间指定作业何时到期。可以在作业管理器配置中更改缺省过期时间。

    您可能还希望重复运行某些作业。使用作业计划可以指定作业对其目标节点可用的期间。例如,您可能希望计划库存作业在每个星期五的午夜开始可用,并在星期一凌晨 4:00 变为不可用。

    最后,还可以指定一个或多个用于通知作业状态的电子邮件地址。若要使用此功能,还必须配置邮件会话,并在作业管理器中配置该会话。

  • 提交作业后,将显示状态表,指示作业标识符、说明及状态、激活时间,以及过期时间(图 11)。此外,该表还包括图形,用于表示作业在其每个目标上的状态摘要。

  • 各个状态显示行表示作业提交及其在每个目标上的状态。图形部分显示每个状态下的目标数目,而每个状态条形图的宽度与处于该状态的目标数目成正比。不含数字值的窄条形图表示没有目标处于该状态。

    图 11. 作业状态显示
    图 11. 作业状态显示
    图 11. 作业状态显示

需要注意作业管理器控制台与其他 WebSphere 控制台之间存在的一些差异。这些差异与作业元数据、异步作业和搜索功能相关:

  • 作业元数据

    作业管理器控制台用于提交作业、检查作业状态和配置作业管理器。可以将作业提交给已经注册到作业管理器的节点。注册过程向作业管理器发送节点功能的说明。使用元数据描述这些功能,并且作业管理器控制台的内容受到该元数据的影响。例如,当您首次创建作业管理器概要并在注册任何节点之前启动控制台时,将没有可供执行的作业。此时,作业管理器控制台中仅有的可用功能包括配置作业管理器服务器、邮件会话、安全性和故障诊断功能。如果尝试提交作业,将不存在可供提交的已知作业。

    注册第一个节点之后,在作业管理器控制台中会看到该节点的功能。例如,如果注册了基本应用程序服务器节点,将看到与服务器、应用程序和 wsadmin 相关的可用作业。此后,如果又向作业管理器注册了部署管理器,则会看到其他部署管理器功能,例如集群管理。节点的功能在节点上管理。如果节点引入了新功能,将通过库存作业将这些功能传达给作业管理器。库存作业成功完成后,控制台就会了解新功能。

  • 作业的异步性质

    提交作业时,它们不必立即运行。在线时,管理代理和部署管理器按照为其配置的轮询间隔从作业管理器提取作业。由于也可以按允许执行的间隔创建作业,因此如果未在有效期内检索作业,则它不会运行。作业状态摘要页显示了四种类型的作业完成状态。它们是成功、部分成功、失败和未完成。状态以图表形式显示(图 11),允许展开图表以查看每个状态下有哪些节点已完成。图表使用颜色以及摘要条形图中的位置来表示状态。

    提交作业时,它一开始处于未完成状态。当作业被检索时,详细状态将其显示为已分发,然后是进行中。一般情况下,作业在该时间点的状态将转变为成功、部分成功或失败。检索作业和返回结果至少要耗费两个轮询周期,并且根据节点处理作业实际花费的时间,可能会耗费更多周期。可在管理代理或部署管理器上配置轮询周期时间。您会发现状态摘要显示有未完成节点,但展开时,该列表中未显示任何节点。刷新状态摘要时,将看到该时间窗口内的节点或已完成,或者失败,因此不再处于未完成状态。

  • 查找和搜索

    关于节点、资源和作业的所有信息都在作业管理器的数据库中维护。由于作业管理器可用于管理大量节点,因此信息筛选是一项重要功能。如果转到 Network Deployment 控制台查看节点,则会显示拓扑中的所有节点。在作业管理器中,通过查询来检索节点以及其他作业管理器构件。每个带有集合表的页面包括用于查找符合搜索条件的对象的控件。可以设置一个或多个查询条件以限制查询的结果。没有必要设置所有字段,除非特别希望利用特定字段限制搜索。每次设置查找参数时,它们都保存在您的用户控制台首选项中,以便下次加载该页面时使用。可以根据需要修改或启动查询。每个查询都提供了命令帮助,可以查看已经设置的查询字段如何影响为检索数据而调用的 AdminTask。

作业管理器和管理代理安全性

必要角色

需要管理员角色才能向管理代理注册或取消注册基本节点。处理管理代理本身时,管理代理需要与所执行的操作相关的特定管理角色。处理管理子系统时,需要注册基本节点的必要管理角色。

使用作业管理器时需要这些角色:

  • 向作业管理器注册/取消注册:管理员
  • 提交作业:操作员
  • 更改作业管理器配置:配置员
  • 读取作业管理器配置或作业历史记录:监视员

当作业在注册基本节点或部署管理器上运行时,用户必须具有包括该作业所需的角色的权限。例如,创建新应用程序服务器的作业要求在基本节点或 Network Deployment 单元上的最低“配置员”角色。

基本安全配置

管理代理和作业管理器支持两种不同的基本安全配置:相同安全域和不同安全域。在第一种配置中,拓扑中的所有单元共享相同的用户注册中心,因而也共享相同的安全域。管理代理及其注册基本节点,以及拓扑中的任何作业管理器或 Network Deployment 单元也是如此。在第二种拓扑中,所有单元均配置了不同的用户中心,因此具有不同的安全域。

对于管理代理拓扑,当用户登录到某个管理子系统的 JMX 连接器端口时,或者从管理控制台选择注册节点时,将使用基本节点的授权表。在图 12 的相同用户注册中心示例中,John 被授权为第一个基本节点的管理员,但没有获得第二个节点的授权。Mary 被授权为第二个节点的配置员,但没有获得第一个节点的授权。在同一张图的不同用户注册中心示例中,John 可以使用其用户名和密码以操作员身份登录到作业管理器。John 也可以使用其用户名和密码以监视员身份登录到部署管理器。虽然本示例显示了他在作业管理器和部署管理器上拥有相同的用户名,但他也可能拥有不同的用户名和密码。

图 12. 用户注册中心
图 12. 用户注册中心
图 12. 用户注册中心

将作业从作业管理器传输到管理代理或部署管理器时,也会传输关于作业提交者的安全信息。该信息用于在运行作业时对用户进行身份验证和授权。随提交的作业传递的用户安全信息可以采用两种形式:用户名和密码,或者安全令牌:

  • 传递用户名和密码

    作为作业提交的一部分,用户可以指定用户名和密码。当作业到达管理子系统或部署管理器时,用户名和密码用于登录。这与用户指定用户名和密码以通过管理控制台或 JMX 连接器登录类似。例如,在相同用户注册中心的情况下,如果 John 向第一个基本节点提交作业,他可以指定其用户名和密码作为作业的组成部分。该用户名和密码用于登录第一个管理子系统,然后作业将运行。如果 John 要向部署管理器单元或第二个基本节点提交作业,作业将失败,因为 John 未获授权。

    对于不同用户注册中心配置,John 可以向部署管理器单元提交作业,并指定他在部署管理器单元上的用户名和密码。当作业到达部署管理器时,登录成功,并且作业将运行。如果 John 是向基本节点提交作业,访问将被拒绝,并且作业将失败。

  • 传递安全令牌

    如果用户不随作业指定用户名和密码,则用户的当前凭据自动作为安全令牌保留在作业数据库中。该令牌包含用户的安全属性,其中包括自定义属性和组。获取作业时,令牌用于对管理子系统或部署管理器进行身份验证和授权。对于相同用户注册中心方案,John 可以向第一个基本节点提交作业,而不需要指定用户名和密码。该作业将运行,因为 John 的凭据自动作为安全令牌传播到管理子系统,并用于向作业证明他的身份和授权。如果 John 向第二个基本节点或部署管理器单元提交作业,作业将失败,因为他的安全令牌在这两个环境中未获授权。

    对于不同用户注册中心配置,用户的安全令牌将不会自动允许提交的作业在管理子系统或部署管理器上运行。若要为不同领域启用用户令牌,请利用在 V7 中新引入的多安全域功能。首先,作业管理器的领域必须作为注册基本节点和部署管理器单元的受信任领域建立。此外,需要将来自作业管理器的用户或用户组的访问 ID 导入到本地授权表并赋予其角色。完成此操作后,用户可以提交作业而不需要传递用户名和密码。

    例如,John 是作业管理器上的操作员,但他的访问 ID 作为管理员导入第一个基本节点的管理授权表。虽然在基本节点的用户注册中心不存在 John,但通过传递安全令牌和管理授权表定义,John 也被授权为基本节点上的管理员。John 可以向第一个基本节点提交作业,而不需要指定用户名或密码。

    如果 John 向部署管理器提交作业,作业将失败。原因在于 John 的安全令牌来自作业管理器领域,而 John 的访问 ID 未获得部署管理器的授权。在这种情况下,管理员可以从作业管理器导出 John 的访问 ID,并将其导入部署管理器。或者,John 可以提交作业以传递他拥有的部署管理器的用户名和密码,从而使 John 可以利用监视员角色运行作业。

    如果使用了细粒度的安全功能(从 V6.1 开始提供),则相同的机制仍然有效。您需要在新授权组的授权表中获得授权。授权表也可能包含外部访问 ID。

混合注册方案

可以创建更复杂的拓扑,其中一些单元共享相同的用户注册中心,而另一些单元不共享。在此类拓扑中,适用以下经验法则:

  • 如果拥有目标节点或部署管理器承认的用户名和密码,则在作业提交过程中可以始终指定用户名和密码。
  • 如果作业管理器和目标节点或部署管理器具有相同的用户注册中心,则作业提交不需要用户名和密码。但是,您需要获得目标节点或部署管理器的授权。
  • 如果作业管理器和目标节点或部署管理器具有不同的用户注册中心并且已建立受信任领域,而且已将作业提交者或作业提交者的组的访问 ID 导入到目标节点或部署管理器的管理授权表,则作业提交也不需要用户名和密码。

总结

现在,利用 IBM WebSphere Application Server V7 中的两种新管理拓扑,您在如何管理应用程序服务环境方面拥有了全面的灵活性。基本应用程序服务器环境提供了简单的单服务器环境。使用新管理代理拓扑可以在单个计算系统上有效地管理多个基本概要。广为人知的部署管理器拓扑提供紧密耦合的分布式环境,支持多个系统上的多服务器。最后,使用新作业管理器拓扑可以通过单个、面向作业的控制台管理管理代理和部署管理器拓扑,同时增加了新的重要功能,例如作业计划、电子邮件结果通知,以及定义节点组的功能,旨在有效和一致地管理大型环境。


相关主题

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=WebSphere
ArticleID=394253
ArticleTitle=WebSphere Application Server V7 的系统管理,第 2 部分: 新的管理拓扑
publish-date=06102009