Service-level requirements: soddisfare i requisiti non funzionali di una architettura software

L’architetto software è la figura professionale che ha l’obiettivo fondamentale di progettare l’architettura di un sistema software nel rispetto dei requisiti non funzionali (NFR)Di seguito, riporto un elenco generale di accorgimenti o best practices che occorre, o conviene, seguire per rispettare i requisiti di base quali performance, availability, reliability, extensibility, manageability, maintainability security.

Il seguente elenco è stato estratto da una lista di quesiti utili alla certificazione di JEE Architect (Oracle) che sto conseguendo; esso non è esaustivo e copre casi piuttosto generali. 

 

Come si può soddisfare la scalabilità del sistema (scalability)?

  • Creando una architettura ridondante, con l’applicazione di tecniche di clustering. I tier dovrebbero essere ridondanti: web tier, application tier, database, LDAP e load balancer, componenti di rete, ecc;
  • Load balancing: è la tecnica che permette di redirigere una richiesta ad uno dei tanti server disponibili in base ad un predeterminato algoritmo di load balancing. Il vantaggio è redistribuire il carico su differenti macchine, con prestazioni non eccessive, invece di avere una singola macchina ad alte prestazioni che gestisca tutte le richieste. In questo modo si risparmia sui costi e si ottimizza l’uso delle risorse computazionali. Per implementare il load balancing occorre scegliere l’appropriato algoritmo in base alle performance e alla disponibilità richieste. Un tipico algoritmo è il round-robin;
  • Riducendo il traffico di rete usando pattern, come DTO e Session Façade, ad esempio;
  • Valutando se scalare verticalmente o orizzontalmente (vertical scaling horizontal scaling). Per scalare un sistema occorre inserire hardware aggiuntivo: scalare verticalmente significa aggiungere risorse addizionali alla macchina, come processori, memoria o dischi; invece, scalare orizzontalmente significa aggiungere altre macchine all’architettura esistente, aumentando la capacità complessiva di sistema. La prima soluzione è più semplice, poiché non ha impatto sull’architettura: infatti, per scalare orizzontalmente l’architettura deve essere predisposta per supportare una cluster-based configuration e progettata in modo che i suoi componenti non dipendano dalla macchina su cui vengono eseguiti. La scelta, comunque, dipende dal costo dell’hardware richiesto per raggiungere i requisiti di performance e di scalabilità fissati col cliente;
  • Disegnando l’architettura in maniera modulare (modularity): conviene separare il sistema in componenti auto-consistente per poter scalare singolarmente le sue parti (web, business, integration tier, ad esempio);
  • Stateless architecture. Conviene utilizzare EJB di tipo stateless: l’utilizzo di stateful session bean comporta una scelta progettuale “povera” dal punto di vista della scalabilità. Inoltre, lo stato conversazionale dovrebbe essere mantenuto lato web (con l’uso di HttpSessionURL rewriting)
  • Usando un connection pooling per le connessioni al database. Inoltre, conviene minimizzare l’utilizzo di long transaction (in generale, l’uso delle transazioni dovrebbe avvenire solo se effettivamente necessario)

 

Come si possono ottimizzare le performance di un sistema?

  •  Attraverso la ridondanza (redundancy). La capacità del sistema può crescere attraverso il vertical scaling e solitamente viene definita height. La ridondanza è la dimensione che viene calcolata in base al numero di istanze configurate per svolgere in modo sincronizzato lo stesso lavoro (ad esempio, attraverso il load balancing): tale dimensione cresce quando si scala orizzontalmente e viene definita width. La ridondanza può migliorare le performance del sistema, oltre all’availability, alla reliability, alla scalability e alla extensibility, ma può comportare un peggioramento della security e della manageability.
  • Introducendo un meccanismo di caching dei dati, in modo da ridurre l’overhead computazionale e limitando il numero di richieste concorrenti. Si potrebbe introdurre un timeout sulle operazioni long-lasting, specialmente quelle che riguardano l’accesso a servizi esterni. In questo modo si migliora il system throughput.
  • Il caching si può introdurre anche grazie all’utilizzo di pattern, come Service Locator e Value List Handler, oppure Session Facade e DTO, che permettono di ridurre il traffico di rete, permettono di esporre servizi “a grana grossa” (course-grained services) che consentono di ridurre il round-trip time all’atto della chiamata ai servizi di business;
  • L’utilizzo delle transazioni deve essere effettuato solo se espressamente richiesto. In generale, peggiorano le performance complessive del sistema, ma ovviamente non si può evitare di utilizzarle, essendo necessarie per garantire la consistenza e l’integrità dei dati. Vanno valutati i singoli casi e fatte delle scelte, trovando il giusto trade-off;
  • Session management. Le specifiche Servlet consigliano di spostare la gestione della sessione lato web, attraverso l’uso della classe HttpSession. La memorizzazione degli oggetti in sessione deve essere ragionata: salvare oggetti onerosi, come collezioni di risultati di ricerca, è un conosciuto problema denominato “performance and scalability anti-pattern”. Conviene ridurre, dunque, i dati in sessione ed effettuare aggiornamenti “a grana grossa” (course grained update).
  • L’utilizzo di un algoritmo di load balancing, come Sticky sessionconsente di avere effetti benefici sulle performance e consente di evitare di avere frequenti sincronizzazioni di dati in sessione. Lo svantaggio è sulla availability: l’utente perde la sessione, ma il failover è più veloce. L’utilizzo di un elastic load balancing e di uno short duration time di sessione avita di avere una perdita di sessione.
  • Utilizzando Java Persistence API (JPA) in modalità lazy, in modo da evitare di caricare dati inutili in modo massivo quando si effettuano le query sui dati;
  • La replicazione passiva (passive replication) consente di avere un sistema poco sovraccarico e di evitare frequenti sincronizzazioni tra i nodi replicati.

 

Come si può soddisfare il requisito della disponibilità del sistema (availability)?

  • Realizzando una architettura ridondante; tutti i tier dovrebbero essere ridondanti (web tier, application tier, database, load balancer, componenti di rete, ecc.). Prevedendo ridondanzafailoverun componente singolo può essere indisponibile e avere un impatto negativo sulla reliability, ma il servizio continua ad essere disponibile grazie alla ridondanza;
  • Dunque, conviene prevedere un clustering con failover usando un hot stand-by server (con capacità extra), ossia un componente secondario che si attiva solo in caso di necessità (soluzione che comporta una spesa aggiuntiva per un componente che potrebbe non essere utilizzato se non in caso di inattività dei componenti principali – occorre valutare se conviene sostenere tale costo, con la garanzia di avere una architettura disponibile in caso di fallimento);
  • Prevedendo una configurazione in clustering e scegliendo un cluster software che permetta di amministrare il server group, rilevando softwarehardware failure e di gestire il failover, restartando i servizi in caso di fallimento. La configurazione two-node clusters (symmetric and asymmetric) è quella più comune: quella simmetrica prevede che entrambi i cluster siano attivi nello stesso istante, invece, quella asimmetrica prevede la presenza di un stand-by failover server.
  • Prevedendo una replicazione passiva (passive replication), dove lo stato dei componenti secondari viene sincronizzato con quello del componente principale, in caso di fallimento. Per il database, si potrebbe optare per una replicazione attiva (active replication), dove i componenti cluster sono tutti principali e si sincronizzano per gestire il carico (in questo modo non si ha una capacità extra inattiva in condizioni normali di funzionamento). Tuttavia, la replicazione attiva è onerosa poiché la sincronizzazione e il coordinamento tra i componenti aggiungono un certo overhead e complessità al sistema;
  • Attraverso la definizione di un piano di Disaster Recovery e di Service-Level Agreements (SLA) per i sistemi esterni da integrare. La definizione delle SLA deve essere concordata con il cliente e fissata in modo chiaro anche per il sistema che si intende progettare.


Come si garantisce il requisito di sicurezza del sistema (security)?

  • Con la ridondanza delle componenti di sistema, diminuisce anche la sicurezza. Questo perché potenzialmente si hanno più punti di vulnerabilità nel sistema;
  • Application security: la sicurezza applicativa si potrebbe soddisfare attraverso il transport level security (come SSL/TLS EAS 256 bit) o attraverso un message level security (come ad esempio, WS-Security). Inoltre, a livello applicativo occorrerebbe prevedere sempre una input validation, filtrando gli input inseriti dagli utenti sulle interfacce web, risolvendo ad esempio il problema del cross site scripting, e prevedendo un packet filtering firewall per evitare attacchi DDoS;
  • Si potrebbe prevedere una zona demilitarizzata (DMZ) per il web e per il business tier, in modo da proteggersi da attacchi esterni, usando il protocollo HTTPS, web server operanti come reverse proxy, una business DMZ accessibile solo attraverso web server “trusted”. Anche al database si dovrebbe accedere soltanto attraverso application server “trusted”.
  • Inoltre, applicando il principle of least privilege, secondo il quale si dovrebbe accedere solo alle informazioni e alle risorse necessarie. Tale principio prevede che utenti, amministratori, programmi, sistemi, ecc. dovrebbero possedere solamente i privilegi necessari per eseguire uno specifico task. Il principio dei privilegi minimi è un importante principio per limitare l’esposizione agli attacchi e per minimizzare i danni;  
  • Per l’integrazione di servizi esterni occorrerebbe utilizzare protocolli come SSL. Ad esempio, per l’accesso a Web Services si potrebbe utilizzare JAX-WS over SSL, in modo da sfruttare il message-level data integrity, grazie all’XML Signature, e il message-level and transport confidentiality, utilizzando l’encryption (WS-Security Specification)
  • Creando una architettura che separi i componenti funzionali o prevedendo delle security zone per ciascun componente: se un componente viene violato, viene compromesso solo tale componente e non tutti gli altri presenti nel sistema (punti di isolamento);
  • Con l’utilizzo di filtri (filter), componenti server-side ospitati dal web container, che permettono di intercettare le richieste in entrata prima che vengano ricevute dai rispettivi componenti target. I filtri sono utili per pre-processare le richieste, permettendo, ad esempio, di loggare eventi o validare le richieste (security checks);
  • Sfruttando la sicurezza messa a disposizione come servizio da un EJB container, facilmente configurabile anche a run-time;
  • Prevedendo un meccanismo di authorization (soltanto un utente valido e autenticato ha gli appropriati diritti per accedere ai dati e alle funzionalità di sistema), confidentiality (assicurando che i dati e le funzionalità di sistema siano protetti da accesso non autorizzati), integrity (assicurando che i dati di sistema non siano modificati o che ci siano interferenze da parte di componenti terzi, malintenzionati e non) e authentication (assicurando che l’identità di un utente che accede al sistema sia valida e corretta e che non possa essere impersonificata o compromessa in alcun modo). Per garantire tali requisiti, si potrebbe sfruttare Java Authentication and Authorization (JAAS);
  • Prevedendo un declarative security model, dove le regole di autorizzazione sono definite attraverso un file XML (deployment descriptor). Nel caso in cui occorra gestire una sicurezza “role-based” particolare, è possibile definire un programmatic security model.

 

Come si garantisce l’affidabilità (reliability) di un sistema?

  • La reliability assicura l’integrità e la consistenza dell’applicazione e di tutte le sue transazioni. Inoltre, definisce l’abilità di un sistema o di un componente di funzionare sotto determinate condizioni per un periodo di tempo specificato. E’ possibile garantire l’affidabilità del sistema utilizzando la ridondanza (redundancy): quando un server non risponde, altri possono lavorare al suo posto;
  • Utilizzando load balancing, failover e clustering;
  • Lo sticky session ha effetti negativi sulla reliability perché l’utente perde la sessione. Per ridurre tale effetto occorre prevedere uno short time session e un elastic load balancing
  • Anche la replicazione passiva ha un effetto negativo sulla reliability, perché ci potrebbe essere un tempo di indisponibilità del sistema (down time) in caso di fallimento e conseguente attivazione dello stand-by server.

 

Come si garantisce l’estensibilità del sistema (extensibility)?

  • Avere un sistema flessibile significa che l’aggiunta di funzionalità o la modifica di quelle esistenti non hanno impatto sull’architettura del sistema. Tale misura dipende da come il sistema è stato progettato e da quanto precisi sono stati i service-level requirements stabiliti con il cliente. I principi base che occorre coprire per garantire la flessibilità del sistema sono: low coupling, interfaces encapsulation.
  • L’applicazione deve essere progettata rispettando il separation of concernsconviene prevedere differenti layer (presentation, business e data access layer). Ogni layer è debolmente accoppiato con gli altri (loose coupling), grazie all’utilizzo di pattern, interfacce, ereditarietà, incapsulamento e best practices della programmazione ad oggetti;
  • Utilizzando pattern per separare l’applicativo in concern e layer: ad esempio, utilizzando DAO, Value List Handler, Front Controller, MVC, Service to Worker;
  • Progettando un object model di alta qualità: basta applicare i principi della programmazione ad oggetti e i design pattern (ad esempio, l’MVC pattern disaccoppia i componenti di user interface dai componenti di business logic);
  • Definendo un service level agreement (SLA) con il cliente e cercando di anticipare le modifiche applicative; attraverso la definizione di SLA è possibile definire uno scope di progetto chiaro e preciso e anticipare inaspettate modifiche al sistema. Occorrerebbe identificare le possibili “changed area” del sistema (ad esempio, la tecnologia di user interface utilizzata) e isolare tali aree in componenti coerenti: in questo modo, si può prevenire che la propagazione degli effetti dei cambiamenti abbia sensibili ripercussioni in tutto il sistema;
  • La ridondanza (redundancy) e la modularità (modularity) consentono di migliorare anche l’estensibilità del sistema;

 

Come si garantisce la manageability del sistema?

  • La manageability è l’abilità di gestire il sistema per assicura di averlo in salute, grazie al monitoraggio dei QoS requirements (scalability, reliability, availability, performance, security). Inoltre, un’alta manageability consente di cambiare la configurazione del sistema per migliorare la QoS dinamicamente senza impattare l’architettura del sistema stesso;
  • La ridondanza ha effetti negativi sulla manageability e non solo sulla sicurezza;
  • Sticky session ha effetti negativi sulla manageability;
  • Utilizzando Java Management Extensions (JMX) e prevedendo differenti livelli di logging per monitorare condizioni di errore, fatali o di warning durante il funzionamento dell’applicativo;
  • Scegliendo un software idoneo di load balancer per il cluster management.

 

Come si garantisce la maintainability del sistema?

  • La maintainability è la capacità di correggere difetti nelle funzionalità esistenti senza impatti su altri componenti del sistema. Tale misura non si valuta a tempo di deploy, ma quando si progetta l’architettura e viene garantita se si rispettano i principi di low coupling, modularity e documentation. Grazie alla modularity, ogni layer è debolmente accoppiato agli altri (loosely coupling), e sfruttando i principi di separation of concerns, i design pattern, le interfacce e le best practices della programmazione ad oggetti, è possibile fare in modo che il sistema sia più manutenibile;
  • Grazie ad una buona documentazione dell’applicativo (architecture diagrams, Interface agreements con i sistemi esterni, class diagrams, sequence diagrams, Java doc, ecc.);
  • Utilizzando lo Standard JEE Stack, con tecnologie come JSF, EJB, JPA, JAAS, JTA in modo da manutenere una soluzione standard e non “specific vendor”. Ad esempio, i componenti JSF si possono riutilizzare e la stessa tecnologia JSF è definita “toolable”, grazie al supporto di IDE maturi come Eclipse, Netbeans e IntelliJ.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


sette − 2 =