英文原文：Policy Management for APIs, Services, and Apps

策略管理是管理的基石，而且管理可以作为IT组织反应和业务敏捷度的基础。

管理依靠策略、人、过程和科技去指导商业活动并且传递一致的正面能量。有效的管理引导着商业活动朝向“正确”的道路，所谓正确的道路是指在最少阻力的道路上做出正确的行动。策略管理通常的功能是指出错误的行为、详细的异常阀，并且定义正确的行动或者通知。领先的应用服务管理平台提供一个高级策略管理。这个策略管理符合灵活的架构，覆盖重要的策略内容，并且贯穿整个周期。

灵活的策略管理架构可以使策略执行点（PEP）,策略决策点（PDP）和策略信息点（PIP）分布和分离。而且，灵活的策略管理架构可以提供自助访问，自动的决策以及整合不同的策略执行点。

其它翻译版本 (1) 加载中

一个完整的应用软件服务管理平台包含以下的策略内容：

• 时间设计策略
• 运行时间策略
• 安全策略
• 开发者访问策略
• 服务和API循环管理策略
• 应用程序循环管理策略

团队通常采用时间设计策略，循环和代码时间策略，以及运行时间策略贯穿整个服务，API和应用程序。为了减少“单独策略”，一个具有粘合性的应用服务管理平台将提供具有首尾相连并且覆盖所有循环阶段（例如：计划、设计、开发、测试、部署、管理、评估、再用、不赞成再用和退休）的功能。

策略管理架构

团队的工艺策略定义使用了策略管理接口，然后应用服务管理平台把策略定义存储到策略信息节点 （PIP） 。 策略信息节点通常是数据库、配置文件或者存储库。 策略执行节点（PEP）监控着系统交互，并且对策略阈值的行为进行比较。 策略执行节点可以决定跨越一个策略阈值（比如 超过速度限制 ，发送未加密 消息 ，CPU的利用率超过限制 ）时的交互行为或者把比较委托给一个策略决策节点（PDP）。 策略执行节点和策略决策节点都有可能采取纠正行为。 普通策略决策节点包括SOA管理登记， 身份 管理和授权服 务，授权服务器以及云控制器。 普通策略执行节点包括API网关，移动网关，HTTP拦截器，企业服务总线 （ESB）或防火墙。

灵活的策略管理框架应当提供自助访问，使策略决策自动化，并且整合策略执行节点。 当消费者使用自助访问并且选择他们自己的策略层次，那么应用服务采用率就能有效的衡量。 自动策略决策能减少操作耗时并最大化解决方案的连贯性。 经过整合的策略执行节点，能扩大策略对环境和生命周期各阶段的覆盖面。

生命周期方面

团队通常会用到设计时策略，生命周期和编码时策略，以及运行时策略，这些策略 涵盖了服务、API和应用 。 为了减少“策略孤岛”，一个有粘合力的应用服务管理平台将会提供点到点的覆盖，包括所有的解决方案组件和所有生命周期（例如：计划、设计、开发、测试、部署、评估、复用、过期和弃用）。

API管理组件和SOA控制登记，必须共同工作来保持API和后端服务策略的同步。 此外，API生命周期的各个阶段也需要和后端服务的实现阶段保持同步。 一个API控制实例可能提供一套明确的、可由开发团队自定义的生命周期阶段（例如，创建、发布、过期、弃用和封闭）。 SOA控制登记能够增进服务元数据管理，并且对设计、实现、测试和运行时操作进行控制。 下图1描绘了API控制视角和服务控制视角之间的关联。

图 1: API 控制和服务控制视图

应用交付管理需要一套独特的升级和降级策略，这些策略和资金、设计审查、安全审查以及测试结果密切相关。应用服务管理平台应当涵盖项目启动、开发、质量保证、产品部署、产品管理、维护和弃用。图2展示了应用交付管理下的服务实现活动。

图 2: 应用服务交付管理下的实现活动

策略管理分类

管理, 存储, 解决,和强制执行一个完整的应用程序服务管理平台:

• 设计时的策略
• 运行时的策略
• 安全策略
• 开发者访问政策
• 服务和 API 生命周期管理策略
• 应用程序交付管理策略

图 3.应用程序服务治理策略分类

时间设计策略管理与执行

确保设计时策略:

• 开发人员使用一个常见的命名惯例的
• 执行标准(如:模式标准,命名空间的约定和服务之间的相互验证)
• 服务和API版本控制(如:版本的编号政策,政策为创建/批准新版本、修订和恢复策略)
• 符合网络服务协同组织(WS-I)
  • 基本概括 (BP)
  • 简单SOAP绑定信息 (SSBP)
  • 附件概括 (AP)
  • 基本安全概要 (BSP)
  • 通过检查表/政策执行生命周期的促销策略
  • 项目团队要在存储库中发布他们的服务
  • WSDL和XML模式验证

运行时策略管理

一个完整的应用服务管理平台规范和管理以下运行时策略类别：
服务水平协议监控与报告

○租户和用户速率限制

○服务意识和租户感知的负载均衡策略

○私人租户分区以减少“吵闹的邻居”的影响

○根据服务使用阈值触发通知

计费和计量政策

○速率限制的服务和API交互

○Throttle服务和API交互

通过XACML进行授权。例如谁为了实现什么目的而可以访问什么服务、API、应用程序或资源

○WS-SecurityPolicy执行方法

○通过策略来控制系统的最大连接数

○通过策略来控制缓存响应

○基于属性的访问控制

○基于角色的访问控制

基础设施供应

○定义和执行自动缩放限制。基础设施资源池来定义和约束最大和最小的运行时实例阈值

○通过分配给用户角色的授权策略来限制配置管理活动

使用零编码方法以及仅限策略/规则的授权和配置方式，团队可以定义如下政策：

○自动发送基于内容规则的消息：比如给所有订单价值大于客户的信用额度的订单发送警报。

○关闭服务或者根据一天不同的时间更改服务或其他方面。

○变换消息格式

安全策略管理和加强

除了基本的授权和认证，一个全面的应用服务控制平台也提供API订阅审批策略和API令牌超时策略。基于角色的访问控制（RBAC）和基于细粒度授权的访问控制策略可能跟用户、服务和API有关联。基于属性或断言的访问控制由XACML、WS-Trust或OpenID提供。安全策略可以绑定到服务、API或者资源。

开发者访问设置策略

开发者的订阅，使用和访问行为也可以被管理和控制。 开发者自助订阅策略可以捕获开发者信息并触发审批流程。 基于角色的访问控制也可以被用于开发者设置。 应用服务控制平台应该支持多角色（比如API创建者， API发布者， API订阅者 ）。

服务和API生命周期管理策略

团队可定义自定义gates和checklist项来控制和管理的服务和 API 生命周期进程.管理员可定义和扩展由生命周期阶段和阶段过渡政策.审批政策 （支持多个审批者） 可以设置控制阶段过渡.

除了根据checklist/approval建立手动的生命周期管理政策, 用户也可以建立自动化的验证规则(使用事先建造好的验证或自定义基于 Java 的验证程序)和自定义轻量级基于进程工作流的WS-HumanTask或完成 BPEL 业务流程.

本文中的所有译文仅用于学习和交流目的，转载请务必注明文章译者、出处、和本文链接。 2KB翻译工作遵照 CC 协议，如果我们的工作有侵犯到您的权益，请及时联系我们。

2KB项目（www.2kb.com，源码交易平台）,提供担保交易、源码交易、虚拟商品、在家创业、在线创业、任务交易、网站设计、软件设计、网络兼职、站长交易、域名交易、链接买卖、网站交易、广告买卖、站长培训、建站美工等服务