Toufic Boubez是XML网络产品供应商Layer 7公司的首席技术主管。在接受TechTarget专访中他介绍到：SOA已经进入“业务化的运营治理”阶段。Boubez是统一描述、发现和集成协议（UDDI）的编写者之一，为Web服务和SOA的崛起做出很大的贡献。去年夏天，他加入W3C工作组共同完成Web服务策略框架（WS-Policy）规范的编写。进入Layer 7公司之前，Boubez在IBM任职，并参与实现SOA基础架构的工作。他也是IBM Web服务架构的主管，任职期间发布了公司第一个SOA工具包。

　　请谈一下WS-Policy的发展现状？

Toufic Boubez：WS-Policy规范是一种建议使用的W3C标准，目前已经完成全部工作。这可能是我所知道的实行速度最快的标准之一，是从工作组成立到通过批准经过时间最短的标准。并且，它已经开始在实际生产中获得应用。不少厂商正在研究WS-Policy，显然它已经赚取不少眼球。许多厂商已经在RFP（Request for Proposal）中使用WS-Policy规范。欧洲的部分终端用户也很希望在实际应用中使用WS-Policy规范。

　　您对治理的发展趋势有什么看法呢？

　　Boubez：我们现在的工作重点是运营治理。需求采集、开发过程及质量管理等过程都有宏观治理。虽然宏观治理很重要，但顾客需要的是部署应用时的应用治理。我们称之为运营治理。

　　运营治理包括哪些方面？

　　Boubez：它包括了许多实际问题，比如谁能获得对规范的访问权限？如何创建规范？如何部署服务？如何为服务制定规范？如何将服务的生命周期与规范的生命周期相关联？这些都是很重要的问题。因此，我们在规范的生命周期，以及如何将其与服务生命周期相关联等方面做了很多工作。

　　如何展开服务？如何部署服务？谁能获得规范的访问权限？如何将规范虚拟化，以在不同的服务中获得应用？如何将服务虚拟化，以应用相同的规范？如何监控并审查规范？规范有完整的生命周期，我们称其为运营治理。因此，我们在产品中添加了更多这方面的功能，也取得了不错的效果。我认为人们在进行宏观治理前更需要做一些比较实际的东西。

　　在运营治理方面怎样进行实践呢？

　　Boubez：有一点虽然看起来微不足道却很重要，那就是，不管访问规范还是服务层次甚至任何其它规范，在部署服务时必须有创建策略规范的能力。因为在部署服务时，如果不能同时部署相关规范，服务便没有可重用性。因此，应该将这一点作为最重要的实践要求。

　　已经有了相关规范之后呢？规范即时生效了吗？规范应用与规范部署之间是有间隔的。架构或安全方面的工作人员可以为访问控制或服务等级协议制定一定的规范，但随后其它人员需要对规范进行审核、批准及部署。这听起来很简单，但在实际运营治理中却非常重要。

　　以角色访问控制（RBAC）为例。实际操作时不会让一个人创建所有的规范。不同的领域有不同的规则。架构需要创建转换规范，访问与加密需要安全规范，保密等级需要由安全部门确定，路由规范可能需要通过运算确定。因此，为规范机制设定角色访问控制很重要。业务部门可能不了解公开密钥体系（PKI）、加密技术或Web服务安全标准（WS-Security），但对服务等级协议却有深入的研究，因此我们制定角色访问控制模型，便于依据不同的服务创建不同的规范。

　　这就是我们围绕运营治理所做的工作。

　　在讨论规范时您谈到了虚拟化，您对虚拟化和SOA的关系又有怎样的看法呢？

　　Toufic Boubez：虚拟化和SOA有着密切的关系。各公司正如火如荼地进行着SOA部署，随之也产生了一些情况。首先，许多公司采用外包模式，也就是软件即服务（Software as a Service）模式，公司为此部署基础设施。这种特殊的部署模式本身就是一种虚拟化模式，可以处理各种服务的数据中心能够带来更多的客户，并为服务安排不同的高峰时间，并且可以根据需求随时启动、停止、添加或削减服务，这种虚拟化有很大的优点。因此，这种模式是可行的。

　　另一种模式则是企业内部的模式。作为SOA用户，随着SOA部署的发展，他们将逐渐认识到为实现重用必须将服务虚拟化，以便为IT部门提供更好的灵活性，并对服务进行更好的管理，避免因以不同方式运行的相同服务而浪费资源。因此，虚拟化可以为企业提供更多的管理方式。

　　虚拟化会产生治理上的问题吗？

　　Boubez：我认为它不会产生任何问题。问题不会因为虚拟化而产生或消失。虚拟化可以对设备进行更好地集中控制，但不会产生治理上的问题。

　　就SOA治理而言，您认为现有标准已经足够吗？是否还需要发展更多的标准？

　　Boubez：我认为仍然有两个领域需要继续发展。一个是策略语言。虽然我们已经有了WS-Policy规范，但我希望可以有一种能使用WS-Policy的语言。我们已经有可以在Web服务策略框架下对安全性进行描述的Web服务安全性策略，也有可以在Web服务策略框架下对消息进行描述的Web服务可靠消息传递协议（WS-RM Policy）。我还希望有更多的，比如涉及服务等级协议的发展。并且，对我来说更重要的是，希望能看到一些关于访问控制的东西。我希望能在WS-Policy规范中包含可扩展的访问控制高标识语言（XACML）。这样我们就可以有完整的Web服务策略框架，并在框架中使用XACML语言。这对我来说是一个巨大的目标，我正在往这方面努力。

　　另一个是联合服务规范。Web服务需要一个更好的联合服务模型。我们已经有了Web服务信任标准（WS-Trust），但我们仍需对其进行扩展，因为联合服务很重要。

　　为WS-Policy规范取得语言支持有什么好处？
　　
　　Boubez：讲一个具体的例子。比如你创建一项服务，并已经获得这项服务，可能也有了访问控制策略，或者关于机密等级的安全性策略。要使用这项服务，你必须提供安全证书。你需要WS-Security SAML（安全声明标志语言）标志，来标记、加密这部分消息。由于有WS-Policy规范和WS-Security标准，可以用Web服务安全性策略满足这些需求。但如果想在策略中加入一些关于服务等级协议的东西呢？比如只能在上午八点到下午五点之间使用服务，或者每天只能使用200次服务，并且根据访问控制，你必须是服务组的成员之一才能使用这项服务。如何满足这些要求？如何在标准的机制下将这些写入规范呢？对于证书与安全性，可以使用Web服务安全性策略，但对于服务等级协议，对于访问控制的限制，就没有任何标准的语言可用了。这就是我希望能在语言支持有所发展的地方。