位置獨立
當你開始在一個真正的網絡上設計一個分布式應用時,以下幾個相互沖突的設計問題會很清楚地反映出來:
相互作用頻繁的組件彼此間應該靠得更近些。
某些組件隻能在特定的機器或位置上運行。
小組件增加了配置的靈活性,但它同時也增加了網絡的擁塞。
大組件減少了網絡的擁塞,但它同時也減少了配置的靈活性。
當你使用DCOM時,這些設計上的限制将很容易解決,因為配置的細節并不是在源碼中說明的。DCOM使得組件的位置對你來說完全透明,無論它是位于客戶的同一進程中或是在地球的另一端。在任何情況下,客戶連接組件和調用組件的方法的方式都是一樣的。DCOM不僅無需改變源碼,而且無需重新編譯程序。一個簡單的再配置動作就改變了組件組件之間相互連接的方式。
DCOM的位置獨立性極大地簡化了将應用組件分布化的任務,使其能夠達到最合适的執行效果。例如,設想某個組件必需位于某台特定的機器上或某個特定的位置,并且此應用有許多小組件,你可以通過将這些組件配置在同一個LAN上,或者同一台機器上,甚至同一個進程中來減少網絡的負載。當應用是由比較少的大組件構成時,網絡負載并不是問題,此時你可以将組件放在速度快的機器上,而不用去管這些機器到底在哪兒。
圖4顯示了相同的“有效性檢查組件”在兩種不同情況下是如何分别配置的。一種情況是當“客戶”機和“中間層”機器之間的帶寬足夠大時,它是怎樣配置在客戶機上的;另一種情況是當客戶進程通過比較慢的網絡連接來訪問組件時,它又是怎樣配置在服務器上的。
圖4 位置獨立性
有了DCOM的位置獨立性,應用系統可以将互相關聯的組件放到靠地比較近的機器上,甚至可以将它們放到同一台機器上或同一個進程中。即使是由大量的小組件來完成一個具有複雜邏輯結構的功能,它們之間仍然能夠有效到相互作用。當組件在客戶機上運行時,将用戶界面和有效性檢查放在客戶端或離客戶端比較近的機器上會更有意義;集中的數據庫事務應該将服務器靠近數據庫。
語言無關性
在設計和實現分布式應用系統時,一個普遍的問題就是為開發一個特定的組件而選擇語言以及工具的問題。語言選擇是一個典型的在開發費用、可得到的技術支持以及執行性能之間的折衷。作為COM的擴展,DCOMDCO具有語言獨立性。任何語言都可以用來創建COM組件,并且這些組件可以使用更多的語言和工具。Java,Microsoft Visual C++,Microsoft Visual Basic,Delphi,PowerBuilder和Micro Focus COBOL都能夠和DCOM很好地相互作用。
因為DCOM具有語言獨立性,應用系統開發人員可以選擇他們最熟悉的語言和工具來進行開發。語言獨立性還使得一些原型組件開始時可以用諸如Visual Basic這樣的高級語言來開發,而在以後用一種不同的語言,例如Visual C++和Java來重新實現,而這種語言能夠更好地支持諸如DCOM的自由線程/多線程以及線程共用這些先進特性。
可擴展性
分布式應用的一個重要因素是它的處理能力能夠随着用戶的數量、數據量所需性能的提高而增加。當需求比較小時,應用系統就比較小而速度快,并且它要能夠在不犧牲性能和可靠性的前提下處理附加的需求。DCOM提供了許多特性來增強你的應用的可擴展性。
對稱的多進程處理(SMP)
DCOM提高了Windows NT對于多進程處理的支持。對于使用自由線程模式的應用,DCOM使用一個線程隊列來處理新來的請求。在多處理器機上,線程隊列是由可利用的處理器的數量來決定的:太多的線程會導緻經常性的上下文切換,而太少的線程又會使處理器處于空閑狀态。DCOM隻提供一個手工編碼的線程管理器,從而使開發者從線程的細節中解脫出來并獲得最好的性能。
DCOM通過使用Windows NT對于對稱性多進程處理的高級支持功能就能輕易地将應用從一個單處理機擴展到龐大的多處理機系統上去。
靈活配置
當負載增加時,即使你的預算支持你買一台最快的多處理機,它也有可能不能适應需求。DCOM的位置獨立性提供了一個簡單而便宜的方法來提高擴展性,那就是将分布性的組件放到其它的機器上。
對于無狀态或無需和其它組件共享狀态的組件來說,再配置是再容易不過的事了。對于這樣一些組件來說,可以在不同的機器上運行它們的多個複本。用戶負載可以被平等地分配到各個機器中去,甚至可以考慮到機器的處理能力以及當時負載這些因素來進行分配。使用DCOM,可以很容易地改變客戶進程同組件以及組件之間的連接方式。同一組件無需作别的改動甚至無需重新編譯就可以被動态地重新配置。所有必須做的工作隻是更新登記、文件系統以及所涉及的組件所在的數據庫而已。
例子:一個組織在多個地方有辦工室,例如紐約、倫敦、舊金山和華盛頓等,它可以将組件安裝到服務器上。兩百個用戶同時在能達到預期的性能的前提下訪問五十個組件。當新的事務應用發送給用戶時,應用系統中同時在使用一些現存的以及新的組件,服務器的負載增長到六百個用戶,同時事務組件的數目增加到七十。有了這些附加的用戶和組件後,峰值時間的響應時間變得不能接受。管理員将其中的三十個組件單獨配置在另一台服務器上,而将二十個組件單獨放在原來的服務器上,同時剩下的二十個組件同時在兩台服務器上運行。
圖5 并行配置
絕大多數現實的應用系統都有一個或多個涉及到大多數操作的關鍵性組件。這種組件有數據庫組件或者事務規則組件,它們必須被串行地執行以保證“先來的先服務”這一策略被執行。這些組件不能被複用,因為它們的唯一任務就是為應用系統的所有用戶提供一個單一的時間同步點。為了增強分步式應用系統的整體功能,必須将這些瓶頸組件放到一個專門的、功能強大的服務器上去。DCOM可以使你早在設計階段就将這些關鍵性組件分開,最初将多個組件放在一台功能簡單的機器上,以後再把關鍵性的組件放到專門的機器上去。這一過程無需組件的再設計,甚至無需重新編譯。
圖6 關鍵性組件的分離
DCOM對于這些決定性的瓶頸組件的處理使得整個任務能夠迅速執行。這些瓶頸組件往往是過程執行序列的一部分,例如電子交易系統中的買賣命令,它們必須按照接收的順序執行(先來的先被服務)。對于此問題的一個解決方法是将任務分成許多小的組件,并将這些組件配置到不同的機器上。這種效果類似于當今微處理器中的管道pipelining技術:第一個請求來了,第一個組件執行(例如一緻性檢查),然後将請求傳遞給下一個組件(例如,可能是更新數據庫)。一旦第一個組件将一條請求傳遞給下一個組件,它就準備執行下一條請求。實際上有兩台機器在并行的執行多個請求,并且能夠保證按照請求來到的順序執行。也可以在同一台機器上使用DCOM來達到同樣的效果:多個組件在不同的線程或者不同的進程中執行。這種方法在以後可以簡化擴展,我們可以将線程分布到一個帶多處理器的機器上,或者可以将進程配置到不同的機器上。
圖7 Pipelining
DCOM的位置獨立性編程模型使得随着應用增加而改變配置設計變得容易了。最初,一個功能簡單的服務器就可以容納所有的組件。随着需求的增加,其它的機器被添加進來,而組件能夠不做任何代碼上的改動就被分步到這些機器中去。
功能的發展:版本化
除了随着用戶的數量以及事務的數量而擴展規模外,當新的特性加入時應用系統也需要擴展規模。随着時間的推移,新的任務被添加進來,原有的任務被更新。傳統的做法是或者客戶進程和組件都需要同時被更新,或者舊的組件必須被保留直到所有的客戶進程被更新,當大量的地理上分布的站點和用戶在使用系統時,這就成為一個非常費力的管理問題。
DCOM為組件和客戶進程提供了靈活的擴展機制。使用COM和DCOM,客戶進程能夠動态地查詢組件的機能。一個COM組件不是将其機能表現為一個簡單、統一的方法和屬性組,而是對于不同的客戶進程表現為不同的形式。使用特定特性的客戶進程隻需要訪問它所需要使用的方法和屬性。客戶進程也能夠同時使用一個組件的多個特性。當新的特性加入組件時,它不會影響不涉及這些特性的老的客戶進程。
用這種方法來組織組件,使得我們能夠有一種新的方法來發展組件功能:最初的組件表現為諸如COM界面的一套核心特性,這些特性是每個客戶進程都需要使用的。當組件需要新的特性時,大多數(甚至是全部)的界面仍然是必須的,我們根本無須更改原來的界面就可以将新的功能和屬性放到附加的界面中去。老的用戶進程就好像什麼事也沒發生似的繼續訪問核心界面。新的客戶進程既可以測試新的界面是否存在以便能使用它,也可以仍然隻使用原來的界面。
圖8 健壯的版本發展
因為在DCOM編程模型中機能被分組放入界面中,你可以設計使用老的服務器程序的新的客戶程序,也可以設計使用老的客戶程序的新的服務器程序,或者将這些混合起來以便能夠适合你的需求和編程資源。使用傳統的對象模型時,那怕是對一個方法的細微改動都可能在根本上改變客戶和組件之間的協議。在一些模型中,可以将方法加到方法隊列的隊尾,但是卻不能在老的組件上測試新的方法。從網絡發展的前景看來,這些事情将會變得越來越複雜:編碼以及其它的一些功能典型地依賴于方法和參數的順序。增加或改動方法和參數也會顯着地改變網絡協議。DCOM為對象模式和網絡協議設計了一個簡單、優雅和統一的方法來解決這些問題。
執行性能
如果最初的執行性能不能讓人滿意的話,可擴展性就不會帶來太多好處了。經常考慮到更多更好的硬件會使得應用向下發展是非常有益的,但是這些需求是怎樣的呢?這些尖端擴展特性是否有用呢?是否對從COBOL到彙編這每一種語言的支持會危害到系統的執行性能呢?使組件能夠在地球的另一面運行的能力是否妨礙了當它和客戶在同一個進程中時的執行性能呢?
在COM和DCOM中,客戶并不能自己看到服務器,但是除非是在必要的情況下,否則客戶進程決不會被系統組件将自己同服務器分開。這種透明性是通過一個簡單的思想來實現的:客戶進程同組件交互的唯一方式就是通過方法調用。客戶進程從一個簡單的方法地址表(一個“vtable”)中得到這些方法的地址。當客戶進程想要調用一個組件中的某個方法時,它先得到方法的地址,然後調用它。在COM和DCOM模型中調用一個傳統的C或彙編函數的唯一開支就是對方法地址的簡單查詢。如果組件是和客戶運行在同一個線程中的過程中組件,那麼無需調用任何COM或系統代碼就可以直接找到方法的地址,COM僅僅隻定義了找到方法地址表的标準。
當用戶和組件不是那麼靠近──在另一個線程中,在另一個程序中或者在地球另一面的一台機器中時情況又是怎樣的呢?COM将它的遠程過程調用(RPC)框架代碼放到vtable中,然後将每個方法調用打包放到一個标準的緩沖器結構中,這個緩沖器結構将被發送給組件,組件打開包并且重新運行最初的方法調用。從這方面來說,COM提供了一個面向對象的RPC機制。
這種RPC機制的速度有多快呢?下面是需要考慮的不同的性能尺度:
一個“空”方法調用有多快?
“真正的”需要發送和接收數據的方法調用有多快?
在網絡上轉一圈有多快?
下表顯示了COM和DCOM的一些真實的執行性能參數,使我們能夠對DCOM和其它的協議的相關的執行性能有一定的了解。
開始兩列表示一個“空”方法調用(發送和接收一個4字節長的整數)。最後兩列可以認為是一個“真正的”COM方法調用(50字節長的參數)。
此表顯示了進程中組件是怎樣得到零開支的執行性能的(第一排和第二排)。
進程之間的方法調用(第三排和第四排)需要将參數存入緩沖器并将其發送給其它的進程。在一個标準的桌面辦公系統硬件中,每秒鐘大約可以執行2000個方法調用,這可以滿足大多數的執行性能需求。所有的本地調用是完全由處理器速度(一定程度上由存儲器容量)決定的,并且能夠很好地适用于多處理器型機器。
遠程調用(第五排和第六排)主要受限于網絡速度,同時可以看出DCOM的開支大約比TCP/IP多了35%(TCP/IP的循環時間是兩秒)。
微軟很快會提供許多平台上的正式的DCOM性能參數,它将顯示出DCOM與客戶數量以及服務器中處理器數量相關的擴展能力。
帶寬及潛在問題
分布式應用利用了網絡的優點将組件結合到一起。理論上來說,DCOM将組件在不同的機器上運行這一事實隐藏起來。實際上,應用必須考慮到網絡連接帶來的兩個主要限制:
帶寬:傳遞給方法調用的參數的大小直接影響着完成方法調用的時間。
潛在問題:物理距離以及相關的網絡器件(例如路由器合傳輸線)甚至能使最小的數據包都被顯着地延遲。
DCOM怎樣幫助應用解決這些局限呢?DCOM自己将網絡循環時間最小化,使得避免網絡中潛在的擁塞成為可能。DCOM選擇了TCP/IP協議套件中的無連接UDP協議作為自己的傳輸協議。協議的無連接特性使得DCOM能夠将許多低級别的确認包和實際的數據以及地址合法性檢查(pinging)信息混合起來從而改善了性能。即使是運行在面向連接的協議上,DCOM也優于傳統的面向特殊應用的協議。
優化網絡
設計分布式應用的一個普遍問題是減少不同機器上組件之間在網絡上的過度的來回繞圈數。
在Internet上,每一次網絡繞圈就會引入1秒甚至更多的延遲。即使在速度快的局域網上,旋程時間也是以微秒來計算的──它超過了本地操作所需時間的量級。
減少網絡繞圈數的一個普遍的方法是将多個方法調用捆綁起來。DCOM将這種技術擴展使用,用來解決諸如連接一個對象或者創造一個對象查詢對象的機能的任務中。這種技術對于一般組件的不足之處是它在本地和遠程情況下的編程模型差别太大。
例子:一個數據庫組件提供了一個能夠分行或多行顯示結果的方法。在本地的情況下,開發者隻需使用這個方法将結果一列一列地加入列表框即可。而在遠程的情況下,每列出一行就會引起一定的網絡旋程。使用批量方式的方法需要開發者分配一個能容納查詢出的所有列的緩沖器,然後在一次調用将其取回并将其一列一列地加入到列表框中。因為編程模型變化很大,開發者需要對設計作大的改動以便應用能夠在分布式環境中有效地工作。
DCOM使得組件開發者能夠輕易地執行批量技術而無需客戶端也使用批量形式的API。DCOM的marshling機制使得組件可以将代碼加到客戶端,這叫作“代理對象”,它可以攔截多個方法調用并将其捆綁到一個遠程調用中去。
例子:因為應用系統的邏輯結構的需要(列表框API的要求),上面例子的開發者仍然需要一個一個地列舉方法。然而,為了列舉查詢結果的第一次調用應用中特殊的代理對象,它取得了所有列(或者一批列)并将其緩存到代理對象中。後來的調用就自接從這個緩存中發出,就避免了網絡旋程。開發者仍然使用一個簡單的編程模型,而整個應用卻得到了優化。
DCOM同樣允許從一個組件到另一個組件的有效的指引。如果一個組件保存了到另一台機器上的一個組件的索引,它可以将其傳遞給在第三方機器上運行的一個客戶進程(假設此客戶進程正在使用另一台機器上運行的另一個組件)。客戶進程使用此索引就可以直接和第二個組件通訊。DCOM縮短了這種索引,并且使得第一個組件和機器可以完全從這個過程中脫離出來。這使得能夠提供索引的傳統的目錄服務适用于遠程組件的範圍。
例1:一個棋類應用系統能夠使正在等待對手的用戶将自己登錄到一個棋類目錄服務中。其它的用戶可以浏覽并查詢正在等待對手的用戶的列表。當一個用戶選擇了自己的對手後,棋類目錄服務系統将對手的客戶組件索引返回給該用戶。DCOM自動連接兩個用戶,目錄服務系統無需涉及任何其它的事務處理過程。
例2:一個“經紀人”組件監控着運行着同一個組件的二十台服務器,它監測服務器的負載量和服務器的加入和删除情況。當一個客戶需要使用該組件時,它連接到“經紀人”組件,此組件返回負載最輕的服務器上的一個組件的索引。DCOM自動連接客戶和服務器,此時“經紀人”組件和以後的過程就無關了。
如果需要的話,DCOM甚至允許将組件插入任意一個傳統的協議中,這個協議可以使用不在DCOM機能範圍内的方法。組件可以使用傳統的配置方法将任意的代理對象放到客戶進程中,此進程能夠使用任何協議将信息傳回組件。
例1:一個服務器端組件可以使用一個ODBC連接來和一個SQL Server數據庫通訊。當客戶取得對象後,客戶機直接和SQL Server數據庫(使用ODBC)比使用DCOM和服務器通訊,同時服務器和SQL Server數據庫通訊更有效。在DCOM的傳統配置情況下,數據庫組件能夠将自己複制到客戶機上,并将自己同SQL Server相連接,而此時客戶并沒有意識到自己已經不再和服務器上的數據庫組件相連了,而是和該組件的一個本地複本連接這着。
例2:一個商業系統需要兩種通訊機制,一種是從客戶端到中央系統的一條安全而經過鑒定的通道,它用來發出和撤消命令;另一種是一條分布式的通道,它用來将命令信息同時發送給連接在系統上的客戶。使用DCOM的安全而同步的連接方式可以簡單而有效地操作客戶機/服務器之間的通道,同時廣播通道需要一種更為尖端的機制,它使用多點廣播技術以便容納大量的偵聽者。DCOM允許将傳統的協議(“可靠的廣播協議”)無縫地插入到應用系統的體系結構中:一個數據接收端組件能夠将此協議封裝起來,并使其對客戶和服務器完全透明。當用戶數量少安裝量小時,标準的DCOM點到點協議就足夠了;而對于有很多用戶的站點來說,就需要使用高級的廣播協議。DCOM将來會提供一個标準的多通道廣播傳輸協議,它能夠無縫地移植到應用系統中。
安全性
使用網絡來将應用系統分布化是一個挑戰,這不僅是因為帶寬的物理限制以及一些潛在的問題,而且也由于它産生一些諸如關系到客戶間、組件間以及客戶和組件之間的安全問題。因為現在的許多操作可以被網絡中的任何一個人訪問,所以對這些操作的訪問應該被限制在一個高級别上。
如果分布式開發平台沒有提供安全支持,那麼每一個分布式應用就必需完成自己的安全機制。一種典型的方法是用某種登錄的方法要求用戶通過用戶名及密碼的檢測,這些一般來說都是被加密了的。應用系統将通過用戶數據庫或者有關目錄來确認以上用戶身份,并返回動态的标識符以便用戶以後用來進行方法調用。以後每次涉及到調用有安全檢查的方法時,用戶都需要通過這種安全認證。每個應用系統都要存儲和管理許多用戶名和密碼,防止用戶進行未授權的訪問,管理密碼的改動以及處理在網絡上傳遞密碼而帶來的危險。
因此分布式平台必需提供一個安全性框架來确切地區分不同的用戶或者不同組的用戶以便系統或應用有辦法知道誰将對某組件進行操作。DCOM使用了Windows NT提供的擴展的安全框架。Windows NT提供了一套穩固的内建式安全模塊,它用來提供從傳統的信用領域的安全模式到非集中管理模式的複雜的身份确認和鑒定機制,極大地擴展了公鑰式安全機制。安全性框架的中心部分是一個用戶目錄,它存儲着用來确認用戶憑據(用戶名、密碼、公鑰)的必要信息。大多數并非基于Windows NT平台的系統提供了相似或相同的擴展機制,我們可以使用這種機制而不用管此平台上用的是哪種安全模塊。大多數DCOM的UNIX版本提供了同Windows NT平台相容的安全模塊。
安全設置
DCOM無需在客戶端和組件上進行任何專門為安全性而做的編碼和設計工作就可以為分布式應用系統提供安全性保障。就象DCOM編程模型屏蔽了組件的位置一樣,它也屏蔽了組件的安全性需求。在無需考慮安全性的單機環境下工作的二進制代碼能夠在分布式環境下以一種安全的方式工作。
DCOM通過讓開發者和管理員為每個組件設置安全性環境而使安全性透明。就象Windows NT允許管理員為文件和目錄設置訪問控制列表(ACLs)一樣,DCOM将組件的訪問控制列表存儲起來。這些列表清楚地指出了哪些用戶或用戶組有權訪問某一類的組件。使用DCOM的設置工具(DCOMCNFG)或者在編程中使用Windows NT的registry以及Win32的安全函數可以很簡單地設置這些列表。
隻要一個客戶進程調用一個方法或者創建某個組件的實例,DCOM就可以獲得使用當前進程(實際上是當前正在執行的線程)的用戶的當前用戶名。Windows NT确保這個用戶的憑據是可靠的,然後DCOM将用戶名正在運行組件的機器或進程。然後組件上的DCOM用自己設置的鑒定機制再一次檢查用戶名,并在訪問控制列表中查找組件(實際上是查找包含此組件的進程中運行的第一個組件)。如果此列表中不包括此用戶(既不是直接在此表中又不是某用戶組的一員),DCOM就在組件被激活前拒絕此次調用。這種安全性機制對用戶和組件都完全是透明的,而且是高度優化的。它基于Windows NT的安全框架,而此框架是Windows NT操作系統中最經常被使用(也是最完美的!)的部分,對每一個對文件或者諸如一個事件或信号的同步線程的訪問都需要經過相同的訪問檢查。Windows NT能夠和同類的操作系統以及網絡操作系統競争并超過它們的事實可以顯示出這種安全性機制是多麼有效。
DCOM提供了一個非常有效的缺省的安全性機制,它使開發員能夠在無需但心任何安全性問題的情況下開發出安全的分布式應用
編程控制
對某些應用系統來說,僅僅是組件級的訪問控制列表是不夠的,因為一個組件中的某些方法是隻能被特定的用戶訪問的。
例子:一個商務結算組件可以有一個方法用來登錄新事務,以及另一個方法用來獲得已經存在的事務。僅僅隻有财務組(“Accounting”用戶組)的成員才能夠添加新事務,同時僅僅隻有高級管理人員(“Upper Management”用戶組)才能查看事務。
正如上一部分所說,應用系統能夠通過管理自己的用戶數據庫以及安全憑據來達到本身的安全。然而,在一個标準的安全框架下工作将會給最終用戶帶來更多的好處。沒有一個統一的安全性框架時,用戶需要為他們所使用的每一個應用記住和管理相應的登錄憑據。開發者為每一個組件靠慮到安全性問題。
DCOM通過加入Windows NT提供的非常靈活的安全性标準将安全性用戶化的要求簡化為對某些特定組件和應用的需求。
使用DCOM安全性标準的應用達到上面例子所要求的有所選擇安全性呢?當一個方法調用來到時,組件要求DCOM提供客戶的身份。然後根據其身份,被調用線程就僅僅執行允許該客戶執行的安全對象中的某些操作。接着組件就試着訪問諸如登錄字之類的安全對象,這些對象中有一個訪問控制列表ACL,如果訪問失敗,說明客戶不在ACL中,組件就拒絕方法調用。通過根據所調用的方法的不同而選擇的不同的登錄字,組件就能夠用一種非常簡單,但卻靈活而有效的方式提供有選擇的安全性。
組件也能夠很輕易地得到客戶的用戶名并且利用它在自己的數據庫中查找有關的許可和策略。這一策略使用了Windows NT的安全性框架(密碼/公鑰,傳輸線上加過密的密碼等等)所提供的鑒定機制。應用系統無需為儲存密碼和其它有關的敏感信息擔心。新版本的Windows NT将提供一個擴展的目錄服務,它允許應用系統将用戶信息存儲到Windows NT的用戶數據庫中。
DCOM的做法更為靈活。組件能夠要求不同級别的加密以及不同級别的鑒定,同時可以在自己進行身份認證時阻止組件使用自己的憑據。
安全性
設計在Internet上公作的應用系統時需要面對兩個主要問題。
即使是在最大的公司,在Internet上用戶的數量都會比原來提高好幾個數量級。
最終用戶希望對他們所使用的所有應用使用相同的公鑰或密碼,即使這些應用是由不同的公司所提供的。提供服務的公司不能在應用系統或安全性框架中儲存用戶的私人密碼。
解決安全
DCOM使用了Windows NT的安全框架(參看安全性部分)。Windows NT的安全性體系結構提供了多個安全性模塊,其中包括:
Windows NT NTLM鑒别協議,它在Windows NT 4.0以及以前版本的Windows NT中使用。
Kerveros Version 5鑒别協議,它在處理Windows NT中以及Windows NT間的訪問時代替NTLM成為最主要的安全性協議。
分布式密碼鑒定(DPA),諸如MSN和CompuServe這些最大的Internet成員組織中的某些公司所使用的共享的密碼鑒别協議。
通道服務
它被用來完成Windows NT 4.0中的SSL/PCT協議。下一版本的Windows NT将加強對支持SSL 3.0客戶鑒定系統的公鑰協議的支持。
一個DCE提出的安全性模塊,它可以作為第三方工具加在Windows NT中。
所有這些模塊都是在标準Internet協議上工作的,都各有其優缺點。NTLM安全性模塊以及在Windows NT 5.0中替代它的基于Kerberos的模塊都是私人密鑰基礎協議。它們在集中式管理環境以及使用相互或者單方面信任關系的基于Windows NT服務器的局域網中是非常有效而安全的。對大多數UNIX系統來說,都可以使用NTLM來進行商業實現。(例如AT&T的“Unix系統的高級服務器(Advanced Server for Unix Systems)”)。
使用Windows NT 4.0的目錄服務,可以很好地擴展到大約100000個用戶。使用Windows NT 5.0的擴展目錄服務,一個Windows NT域控制器可以擴展到大約一億個用戶。通過将多個域控制器結合到Windows NT 5.0的目錄樹中,在一個域中所能支持的用戶實際上是無限的。
Windows NT 5.0的基于Kerberos的安全性模塊引入了例如在客戶進行身份認證時對組件行為的控制等更先進的安全性概念。它在執行鑒别時比NTLM安全性提供模塊所占用的資源更少。
Windows NT 5.0還提供了基于安全性模塊的一個公共密鑰。這一模塊可以在基于Windows NT的應用以及基于DCOM的應用中将對于安全性憑據的管理分布化。使用公共密鑰進行身份鑒别不如使用私人密鑰有效,但是它允許在無需儲存客戶的私人憑據的情況下進行身份鑒别。
因為有如此多的互不相同的基本的安全性提供模塊(私人密鑰,公共密鑰)可以被使用,所以基于DCOM的分布式應用系統可以無需對其進行任何改動就能完成甚至更為先進,對安全性敏感的應用。Windows NT的安全性框架使得無需犧牲靈活性和執行性能就能很容易地擴展應用并保證應用的安全性。
負載平衡
一個分布式應用系統越成功,由于用戶數量的增長而給應用系統中的所有組件帶來的負載就越高。一個經常出現的情況是即使是最快的硬件的計算能力也無法滿足用戶的需求。
這一問題的一個無法必免的解決方案是将負載分布到多個服務器中去。在“可擴展性”部分簡要地提到了DCOM怎樣促進負載平衡的幾種不同的技術:并行配置,分離關鍵組件和連續進程的pipelining技術。
“負載平衡”是一個經常被使用的名詞,它描叙了一整套相關技術。DCOM并沒有透明地提供各種意義上的負載平衡,但是它使得完成各種方式的負載平衡變得容易起來。
靜态負載
解決負載平衡的一個方法是不斷地将某些用戶分配到運行同一應用的某些服務器上。因為這種分配不随網絡狀況以及其它因素的變化而變化,所以這種方法稱為靜态負載平衡。
基于DCOM的應用可以很容易地通過改變登記入口将其配置到某些特定的服務器上運行。顧客登記工具可以使用Win32的遠程登記函數來改變每一個客戶的設置。在Windows NT 5.0中,DCOM可以使用擴展的目錄服務來完成對分布的類的儲存,這使得将這些配置改變集中化成為可能。
在Windows NT 4.0中,應用系統可以使用一些簡單的技術達到同樣的效果。一個基本的方法是将服務器的名字存到諸如數據庫和一個小文件這樣的衆所周知的集中環境中。當組件想要和服務器相連接時,它就能很輕易地獲得服務器的名字。對數據庫或文件内容的改動也就同時改變了所有的用戶以及有關的用戶組。
一個靈活得多的方法使用了一個精緻複雜的指示組件。這個組件駐留在一台為大家所共知的服務器中。客戶組件首先和此組件連接,請求一個指向它所需服務的索引。指示組件能夠使用DCOM的安全性機制來對發出請求的用戶進行确認,并根據發出請求者的身份選擇服務器。指示組件并不直接返回服務器名,它實際上建立了一個到服務器的連接并将此連接直接傳遞給客戶。然後DCOM透明地将服務器和客戶連接起來,這時指示組件的工作就完成了。我們還可以通過在指示組件上建立一個顧客類代理店之類的東西而将以上機制對客戶完全屏蔽起來。
當用戶需求增加時,管理員可以通過改變組件而為不同的用戶透明地選擇不同的服務器。此時客戶組件沒有做任何改動,而應用可以從一個非集中式管理的模式變為一個集中式管理的模式。DCOM的位置獨立性以及它對有效的指示的支持使得這種設計的靈活性成為可能。
動态負載
靜态負載平衡方法是解決不斷增長的用戶需求的一個好方法,但它需要管理員的介入,并且隻有在負載可預測時才能很好地工作。
指示組件的思想能夠提供更加巧妙的負載平衡方法。指示組件不僅可以基于用戶ID來選擇服務器,它還可以利用有關服務器負載、客戶和可用服務器之間的網絡拓樸結構以及某個給定用戶過去需求量的統計數字來選擇服務器。每當一個客戶連接一個組件時,指示組件将其分配給當時最合适的可用的服務器。當然,從客戶的觀點看來,這一切都是透明發生的。這種方法叫做動态負載平衡法。
對某些應用來說,連接時的動态負載平衡法可能仍然是不充分的。客戶不能被長時間中斷,或者用戶之間的負載分布不均衡。DCOM本身并沒有提供對這種動态重連接以及動态的方法分布化的支持,因為這樣做需要對客戶進程和組件之間相互作用的情況非常熟悉才行,此時組件在方法激活過程中保留了一些客戶的特殊的狀态信息。如果此時DCOM突然将客戶和在另一台機器上的另一個不同的組件再連接,那麼這些信息就丢失了。
然而,DCOM使得應用系統的設計者能夠很容易地将這種邏輯結構清楚地引入到客戶和組件之間的協議中來。客戶和組件能夠使用特殊的界面來決定什麼時候一個連接可以被安全地經過再尋徑接到另一台服務器上而不丢失任何重要的狀态信息。從這一點看來,無論是客戶還是組件都可以在下一個方法激活前初始化一個到另一台機器上的另一個組件的再連接。DCOM提供了用來完成這些附加的面向特殊應用的協議的所有的豐富的協議擴展機制。
DCOM結構也允許将面向特殊組件的代碼放到客戶進程中。無論什麼時候客戶進程要激活一個方法時,由真實組件組件所提供的代理組件在客戶進程中截取這一調用,并能夠将其再尋徑到另一台服務器上。而客戶根本無需了解這一過程,DCOM提供了靈活的機制來透明的建立這些“分布式組件”。
有了以上獨特的特性,DCOM使得開發用來處理負載平衡和動态方法尋徑的一般底層結構成為可能。這種底層結構能夠定義一套标準界面,它可以用來在客戶進程和組件之間傳遞狀态信息的出現和消失情況。一旦組件位于客戶端的部分發現狀态信息消失,它就能動态地将客戶重連接到另一台服務器上。
例子:微軟的事務服務器(以前叫做“Viper”)使用這一機制來擴展了DCOM編程模型。通過一套簡單的标準狀态信息管理界面,事務服務器能夠獲得必要的信息來提供高級别的負載平衡。在這種新的編程模型中,客戶和組件之間的相互作用被捆綁到事務中,它能夠指出什麼時候一系列的方法調用所涉及的組件的狀态信息都是清楚的。
DCOM提供了一個用來完成動态負載平衡的強大的底層結構。簡單的指示組件在連接時可以用來透明地完成動态服務器分配工作。用來将單一的方法調用再尋徑到不同的服務器的更尖端的機制也能夠輕易地完成,但是它需要對客戶進程和組件之間的相互作用過程有更為深入的了解。微軟的完全基于DCOM建立的事務服務器(“Viper”)提供了一個标準的編程模型用來向事務服務器的底層結構傳遞面向這一附加的特殊應用的有關細節問題,它可以用來執行非常高級的靜态和動态的重配置與負載平衡。
容錯性
容錯性對于需要高可靠性的面向關鍵任務的應用系統來說是非常重要的。對于錯誤的恢複能立通常是是通過一定量的硬件、操作系統以及應用系統的軟件機制來實現的。
DCOM在協議級提供了對容錯性的一般支持。前面的“應用系統間的共享式連接管理”部分所描叙的一種高級pinging機制能夠發現網絡以及客戶端的硬件錯誤。如果網絡能夠在要求的時間間隔内恢複,DCOM就能自動地重新建立連接。
DCOM使實現容錯性變得容易起來。一種技術就是上一部分所說的指示組件的技術。當客戶進程發現一個組件出錯時,它重新連接到建立第一個連接的那個指示組件。指示組件内有哪些服務器不再有效的消息,并能提供在另一台機器上運行的這一組件的一個新的實例。當然,在這種情況下應用系統仍然需要在高級别上(一緻性以及消息丢失問題等)處理錯誤的恢複問題。
因為DCOM可以将一個組件分别放到服務器方和客戶方,所以可以對用戶完全透明地實現組件的連接和重連接以及一緻性問題。
例子:微軟的事務服務器(“Viper”)提供了一個在應用級處理一緻性問題的一般性機制。将多個方法調用組合到一個原子事務中就能夠保證一緻性,并使應用能夠很容易地避免信息的丢失。
另一技術經常被稱為“熱備份”。同一服務器組件的兩個複本并行地在不同的機器上運行,它們處理相同的信息。客戶進程能夠明确地同時連接這兩台機器。DCOM的“分布式組件”通過将處理容錯性的服務代碼放到客戶端使得以上過程對用戶應用完全透明。另一種方法是使用另一台機器上運行的一個協作組件,由它代表客戶将客戶請求發送給那兩個服務器組件。
當錯誤發生時試圖将一個服務器組件轉移到另一台機器上經事實證明是失敗的。Windows NT組的最初版本使用了這一方法,當然它可以在應用級完成。DCOM的“分布式組件”使得完成這一機能更容易了,并且它對用戶隐蔽了實現細節。
DCOM使得完成高級的容錯技術變得更為容易。使用DCOM提供的部分在客戶進程中運行的分布式組件技術能夠使解決問題的細節對用戶透明。開發者無需改動客戶組件,甚至客戶機進行重新配置就能夠增強分布式應用系統的容錯性。
輕松配置
如果不容易安裝和管理的話,即使是最好的應用系統也是沒有用的。對于分布式應用來說,能夠集中管理和盡可能簡單的客戶安裝過程是非常關鍵的。同時,提供一些辦法使系統管理員能夠在潛在的錯誤造成任何損害之前盡可能早的發現它對于分布式應用也是非常必要的。
DCOM提供了什麼技術能夠讓一個應用更加易于管理呢?
安裝
簡化客戶端安裝的一種普遍方法可以概括為一個詞“稀薄的客戶”,意思是駐留在客戶端的機能越少,安裝以及可能發生的維護問題也就越少。
然而,客戶組件越“稀薄”,整個應用的用戶友好度就越低,對網絡和服務器的需求也就越高。稀薄的客戶還不能充分利用當今桌面辦工系統所能得到的強大的計算能力,而由于諸如字處理軟件以及電子表格軟件這些桌面生産應用系統本身就具有統一而龐大的特性,所以大多數用戶對于這種系統的強大的計算能力的需求也不會減弱。因此在正确的級别實現“濃厚”對于分布式應用的設計來說是一個非常重要的決定。DCOM通過讓開發者甚至管理員來選擇每個組件的位置來促進配置的簡單性和靈活性之間的平衡。可以通過對配置的簡單改動使同一個事務組件(例如數據登錄檢查組件)分别在服務器和客戶端執行。應用能夠動态地選擇所使用的用戶界面組件(服務器上的HTML産生器或者客戶端的ActiveX控件)。
保持“肥胖的”客戶的一個最大的問題是将這些客戶更新到最新版本的問題。現在通過對代碼下載的支持,微軟的Internet Explorer 3.0提供了解決這一問題的一個非常優雅的辦法。隻要用戶在浏覽一頁頁面,微軟的Internet Explorer就會檢查頁面中所使用的ActiveX控件,并在必要時自動對其進行更新。應用也可以在不明确使用浏覽器的時候使用這一被微軟直接支持的特性(ActiveX的CoCreateClassFromURL函數)。
在Windows NT 5.0中,代碼下載的概念将被擴展到本地COM類庫中。這一類庫将使用擴展目錄來儲存組件的配置信息和到實際代碼的索引,它改變了當前使用的本地登記概念。這個類庫将向Intranet(擴展目錄)和Internet(代碼下載,Internet路徑搜索)提供代碼倉庫,并使它們對已存在的應用完全透明。
安裝和更新服務器組件通常不是一個嚴重的問題。然而,在一個高度分布化的應用中,同時更新所有的客戶一般來說是不太可能的。如第一部分中“功能的發展:版本化”部分所述的DCOM的健壯的版本化支持允許服務器在保持向後兼容的基礎上加入新的功能。服務器組件既可以處理舊客戶進程,又可以處理新客戶進程。一旦所有的客戶都被更新,組件就可以停止對新客戶所不需要的功能的支持。
使用代碼下載技術以及以後它的擴展技術,類庫、管理員能夠有效而安全地集中安裝和更新客戶,并能在不用削減太多功能的情況下将“肥胖的”客戶變為靈巧的客戶。DCOM對于健壯性版本化的支持使得無需先更新所有客戶就可以更新服務器程序。
