云计算设计模式(二十四)——仆人键模式

云计算设计模式(二十四)——仆人模式


使用一个令牌或密钥,向客户提供受限制的直接访问特定的资源服务,以便由应用程序代码卸载数据传输操作。这个模式是在使用云托管的存储系统队列的应用中特别有用并且可以最大限度地降低成本,最大限度地提高可扩展性和性能。

背景和问题


客户端程序和网络浏览器经常需要读取和写入文件数据流,一个应用程序的存储空间。通常,应用程序将处理的运动数据或者通过存储读取,并将其传输到客户端通过从客户机读取并将其存储在数据存储中。然而,这种方法吸收了宝贵的资源,如计算存储和带宽

数据存储要处理的上载和直接数据下载而不需要对应用程序执行任何处理移动至数据的能力,但是这通常需要在客户端能够访问存储区中的安全凭证。虽然这可能是一种有用的技术减少数据传送费用要求进行扩展的应用,以最大化性能,这意味着应用程序不再能够管理的数据的安全性。一旦客户端到数据存储器进行直接访问的连接,应用程序不能充当看门人它不再是在该方法的控制,并且不能防止随后上载或下载数据存储中。

这不是,可能需要使用不受信任的客户的现代分布式系统实事求是的态度相反,应用程序必须能安全地控制对数据的访问是粒状的方法,但仍然通过设置此连接,然后使客户端能够直接与数据存储来执行所需的读或写操作的通信降低服务器上的负载

 

解决方案


要解决控制访问的数据存储在那里商店本身无法管理身份验证和客户授权问题一个典型的解决方案是限制访问数据存储的公共连接,并提供客户端用钥匙或令牌数据存储本身可以验证

这个密钥或令牌通常被称为仆人键。它提供了对特定资源的时间限制的访问中,仅允许预定的操作,例如读取和写入存储队列,上载和下载Web浏览器。应用程序可以创建和发行代客客户快速,方便地设备和网络浏览器允许客户端,而无需应用程序直接处理数据传送执行所需的操作这消除了处理开销并且性能和可扩展性所造成的影响该应用程序该服务器。

客户端使用该令牌来访问特定资源数据存储只有特定的时期并与访问权限的特定的限制,示于图1指定的时间后,将变为无效并且不会允许后续访问该资源。

图1  - 模式概述


另外,也可以配置具有其他依赖关系,数据的位置的范围的一个关键例如,根据不同的数据存储能力,所述可在数据存储区指定一个完整的表格在表中特定的行。云存储系统中密钥可以指定一个容器或只是一个特定项目的容器

,也可以由应用程序无效。一种有用的方法,如果客户端通知该数据传送操作完成服务器然后,服务器可以无效键,以防止将其用于任何后续访问数据存储中。

使用这种模式可以简化管理对资源的访问,因为没有要求创建和验证用户授予权限,然后删除用户可以很容易地限制的位置,允许,有效期所有通过简单地产生一个合适的在运行时的重要因素限制的有效期,以及资源特别的位置,尽可能紧,以使接收方可以将其用于预定的目的。

问题和注意事项


在决定如何实现这个模式时,请考虑以下几点
•管理密钥的有效性状态和时期最关键的是不记名票据,如果泄露泄露,有效地解除锁定目标项目,并使其可用于有效期内恶意使用一键通常可撤销或无效,这取决于它是如何发出的服务器端的策略可以被改变,或者在最终的情况下,服务器键入其用被无效签名。指定一个有效期,尽量减少使后续的无端操作来发生数据存储的风险。然而,如果在有效期太短时,客户端可能无法密钥过期之前完成该操作允许授权用户如果多次访问所需受保护资源的有效期间过期之前更新的关键
访问控制的关键将提供水平典型地,该应允许用户执行仅需要完成操作行动,诸如只读访问,如果客户端不应该能够将数据上传到数据存储器文件上传时,通常指定一个,它提供只写权限以及位置和有效期。至关重要的是要精确地指定资源资源集到的关键应用
•考虑如何控制用户的行为实施这种模式是指控制一定的损失转移到哪些用户有权访问的资源控制施加的电平是由可用于该服务目标数据存储区中的策略和许可能力的限制例如通常是不可能创建密钥,限制数据的大小将被写入存储或者次数的密钥可用于访问文件的数目。这可导致由预期客户所使用,即使可能是由在可能会导致重复上载或下载代码的错误将导致数据传输巨大意想不到的成本限制次数的文件可以被上载或下载的,可能有必要在可能情况下的数量,能够强制客户端,当一个操作完成后,通知该应用程序。例如某些数据存储引发事件应用程序代码,可用于监视操作和控制的用户行为。然而,它可能是很难执行对个人用户的配额多租户场景,其中相同的密钥从一个租户使用的所有用户。
验证和可选消毒所有上传的数据。收益的关键访问一个恶意用户可以上传,旨在进一步降低了系统的数据。可替换地,授权用户上载的数据是无效的,并在处理时可能会导致错误或系统故障。为了防止这一点,确保所有上传的数据进行验证,并检查使用前恶意内容
审核所有操作许多基于密钥的机制可以登录的操作,如上传,下载和失败这些日志通常可以并入一个审核过程并且用于计费,如果基于文件大小数据用户被收取费用。使用日志来检测可能是由与键提供一个存储的访问策略或者意外移开问题导致验证失败
•提供关键安全可以被嵌入在用户激活在web页面的URL或者可以一个服务器重定向操作中使用,以便自动进行下载。始终使用HTTPS传送的关键在一个安全通道
•保护敏感数据在传输过程中通过应用程序发送的敏感数据通常发生使用SSL或TLS,这应该被强制执行的客户端直接访问数据存储

其他问题要注意实现这个模式的时候
如果客户端没有,或者无法通知操作完成服务器,唯一的限制是关键到期期限应用程序将无法执行审计业务,如计算上载或下载的数量或防止多个上传或下载
可以生成可能是有限的关键策略灵活性例如一些机制可以允许使用一种定时期满期。其他人可能无法以指定读/写权限的足够的粒度
•如果指定的开始时间令牌有效期限确保它比当前的服务器时间,以允许客户端时钟,可能会稍微超出同步早一点如果没有指定,则默认通常当前服务器时间
包含密钥的URL将被记录在服务器日志文件中而键通常已过期日志文件进行分析之前,请确保您限制对它们的访问如果日志数据发送到监控系统存储在另一位置中,需要考虑的延迟,以防止密钥的泄漏,直至经过有效期限已经过期。
如果客户端代码,在Web浏览器中运行,浏览器可能需要支持跨域资源共享CORS,使Web浏览器中执行访问的数据服务的网页源域不同的域代码。一些旧的浏览器和一些数据存储不支持CORS和代码运行在这些浏览器可能无法使用仆人,提供对数据的访问在不同的领域比如云存储帐户。

 

 

 

何时使用这个模式


这种模式非常适合于以下几种情况:
为了最大限度地减少资源负荷,最大限度地提高性能和可扩展性。使用仆人不要求资源被锁定没有远程服务器呼叫是必需的,对可发出仆人键的数目没有限制,并且其避免了单点,将出现执行数据失败传送通过应用程序代码。创建仆人通常是签订一个字符串键的简单加密操作
为了最大限度地降低运营成本。支持直接访问存储和队列资源成本效率可以导致更少的网络往返并且可以允许所需的计算资源数量的减少
•当客户定期上载或下载数据特别是在有一个大的体积,或当每个操作涉及大量的文件。
当应用程序具有有限的计算资源可用或者是由于托管限制或成本的考虑在这种情况下,该模式是有利的,如果有很多并发的数据上传或下载,因为它会减轻,从处理数据传输应用
•当数据被存储在远程数据存储装置或不同的数据中心。如果该应用程序被要求作为一个看门者,有可能是因为数据中心之间传送数据额外的带宽或通过客户端和应用程序之间的公共或专用网络的电荷,然后将应用程序和数据存储之间

这种模式可能不适合下列情况
•如果应用程序必须对数据执行一些任务之前将其存储将其发送到客户端之前例如,应用程序可能需要执行验证,登录访问成功或者数据进行变换然而,一些数据存储和客户端都能够进行谈判,并进行简单的变换,如压缩和解压例如Web浏览器通常可以处理gzip等格式
如果现有的应用程序的设计实施,使得难以和昂贵的工具。使用这种模式通常需要用于传送和接收数据的一个不同的体系结构方法
•如果有必要保持审核跟踪或控制执行数据传送操作的次数,使用代客关键机制不支持该服务器可用于管理这些操作的通知。
•如果有必要,以限制该数据的大小,特别是在上载操作唯一的解决方法是为应用程序来检查数据的尺寸后,在操作完成后,或在指定时间按计划检查上传的大小。

例子

微软Azure支持共享访问签名SASAzure存储细粒度的访问控制,数据的blob表和队列并为服务总线队列和主题一个SAS令牌可配置为提供特定的访问权限,如读,写更新和删除特定表;一个范围的表;队列;一个blob;BLOB容器。有效期可以是一个指定的时间段,或没有时间限制

天青SAS还支持可与特定资源相关联,表或斑点服务器存储访问策略。这个特征提供了额外的控制灵活性相比,应用程序生成的SAS令牌,并且应该尽可能使用在服务器中存储策略中定义的设置可以在不发出新的令牌来改变,并反映在无需将发行新令牌令牌令牌本身定义的设置不能被改变这种方法使得有可能撤销有效的SAS令牌之前已经过期。

注意:

欲了解更多信息,请参阅介绍SAS共享访问签名队列SAS和更新的Blob SASAzure存储团队博客和共享访问签名,第1部分:了解SAS型号MSDN上

下面的代码演示了如何创建一个SAS有效期为5分钟。GetSharedAccessReferenceForUpload方法返回一个SAS可用于将文件上传Azure的Blob存储

public class ValuesController : ApiController
{
  private readonly CloudStorageAccount account;
  private readonly string blobContainer;
  ...
  /// <summary>
  /// Return a limited access key that allows the caller to upload a file 
  /// to this specific destination for a defined period of time.
  /// </summary>
  private StorageEntitySas GetSharedAccessReferenceForUpload(string blobName)
  {
    var blobClient = this.account.CreateCloudBlobClient();
    var container = blobClient.GetContainerReference(this.blobContainer);

    var blob = container.GetBlockBlobReference(blobName);

    var policy = new SharedAccessBlobPolicy
    {
      Permissions = SharedAccessBlobPermissions.Write,

      // Specify a start time five minutes earlier to allow for client clock skew.
      SharedAccessStartTime = DateTime.UtcNow.AddMinutes(-5),

      // Specify a validity period of five minutes starting from now. 
      SharedAccessExpiryTime = DateTime.UtcNow.AddMinutes(5)
    };

    // Create the signature. 
    var sas = blob.GetSharedAccessSignature(policy);

    return new StorageEntitySas
    {
      BlobUri = blob.Uri,
      Credentials = sas,
      Name = blobName
    };
  }

  public struct StorageEntitySas
  {
    public string Credentials;
    public Uri BlobUri;
    public string Name;
  }
}


 

注意:

ValetKey解决方案提供下载本指导意见提供包含此代码完整样本。溶液ValetKey.Web项目包含一个Web应用程序,包括如上所示的ValuesController使用该Web应用程序检索SAS键,将文件上传Blob存储的样本客户端应用程序ValetKey.Client项目中可用

本文翻译自MSDN:http://msdn.microsoft.com/en-us/library/dn568102.aspx

 

阅读更多
所属专栏: 云计算设计模式
上一篇云计算设计模式(二十三)——Throttling节流模式
下一篇在HDInsight中的Hadoop介绍
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭