대규모 분산 아키텍처
BizTalk Server 배포를 위한 시스템 아키텍처에 대한 자세한 내용은 샘플 BizTalk Server 아키텍처를 참조하세요.
이 섹션에 나타나는 아키텍처는 프로덕션 환경을 위한 것입니다. 개발이나 테스트 환경 또는 환경에 대한 관리 네트워크에 대한 권장 사항은 포함하지 않습니다. 개발에서 테스트 환경으로, 테스트에서 프로덕션 환경으로 구성을 준비하는 방법에 대한 자세한 내용은 BizTalk 애플리케이션 배포를 참조하세요.
다음 그림에서는 심층 방어를 고려한 고도로 분산된 BizTalk Server 아키텍처를 보여줍니다.
분산 BizTalk Server 보안 아키텍처
이 아키텍처에는 다음 5개의 도메인이 포함되어 있습니다.
경계 네트워크. 경계 네트워크(DMZ, 완충 지역 및 스크린된 서브넷이라고도 함)에는 엔터프라이즈에 대한 인터넷 관련 서비스를 제공하는 서버가 포함되어 있습니다. 이 도메인에는 인터넷 연결 전송이 BizTalk Server 주고 받는 물리적 위치가 있는 서버가 포함될 수 있습니다. 이 도메인에는 BizTalk Server, BizTalk 수신 위치 또는 Enterprise Single Sign-On 서버가 없습니다. SOAP 또는 HTTP 어댑터를 사용하는 경우 역방향 프록시 규칙(Forefront TMG(Threat Management Gateway) 2010 서버 구현은 웹 게시라고 함)을 사용하여 인터넷 연결 방화벽(FW4)을 서비스 인터페이스 도메인을 보호하는 방화벽(FW3)으로 메시지를 릴레이할 수 있습니다. 웹 게시 규칙에 대한 자세한 내용은 Microsoft 웹 사이트(https://go.microsoft.com/fwlink/?LinkID=205340)를 https://go.microsoft.com/fwlink/?LinkID=205340 참조하세요.
앞의 그림에서 경계 네트워크의 서버는 BizTalk Server 환경 외부의 도메인에 있는 서버를 나타냅니다. 따라서 이러한 서버 중 일부는 원격 위치에 있을 수도 있습니다. 예를 들어 FTP(파일 전송 프로토콜) 서버가 원격 위치에 있을 수 있으며, SMTP(Simple Mail Transfer Protocol) 서버가 회사 전자 메일 서버, ISP(인터넷 서비스 공급자)의 서버 또는 원격 SMTP 서버일 수 있습니다.
서비스 인터페이스 도메인. 이 도메인은 메시지 처리가 시작되는 도메인입니다. 이 도메인에는 BizTalk 수신 및 송신 핸들러를 보유한 서버가 포함되어 있습니다. 여기서 BizTalk Server 포트, 수신 위치, 파이프라인, 지도, 스키마 및 어셈블리가 메시지를 수신, 라우팅 및 보낼 수 있습니다. 이 도메인의 BizTalk Server 수는 회사의 성능 요구 사항에 맞게 필요한 호스트 및 호스트 인스턴스 수에 따라 달라집니다.
서비스 도메인. 이 도메인에는 서비스 인터페이스 도메인에 있는 서버가 메시지 처리를 위해 신뢰하고 필요로 하는 서비스가 포함되어 있습니다. 하지만 이 서비스의 경우 BizTalk 오케스트레이션, 파이프라인, Enterprise SSO(Single Sign-On) 서비스, 비즈니스 규칙 엔진 및 기타 비즈니스 프로세스를 보유한 처리 서버와 같은 경계 네트워크의 공격에 대한 추가 방어 계층이 필요합니다.
이 도메인에는 회사 도메인에서 액세스해야 하지만 외부 위협으로부터 보호해야 하는 서비스도 포함되어 있습니다. 이 도메인의 서버 중 하나는 관리 도구인 BizTalk 관리 콘솔 및 SSO(Enterprise Single Sign-On) 관리 유틸리티를 호스트합니다. 이 도메인에는 SSO 마스터 보안 버서도 포함되어 있습니다. 즉 SSO 데이터베이스에서 데이터를 암호화하기 위해 SSO 시스템에서 사용하는 마스터 보안(암호화 키)을 보유하고 있습니다. 이 도메인에 있는 서버 중 하나에는 상태 모니터링 및 비즈니스 모니터링 데이터 추적을 지원하는 호스트의 호스트 인스턴스가 있습니다.
참고
Enterprise Single Sign-On 시스템에서 처리 서버 중 일부에는 BizTalk Server 구성 요소가 없이 SSO 서비스만 포함될 수도 있습니다. 자세한 내용은 Enterprise Single Sign-On에 대한 고가용성을 참조하세요.
데이터 도메인. 데이터 도메인은 인터넷에서 가장 동떨어져 있습니다. 이 도메인에는 중요한 비즈니스 및 프로세스 데이터를 저장하는 SQL Server 데이터베이스가 포함되어 있으며 다른 도메인은 신뢰하지 않기 때문입니다. SQL Server 실행하는 다른 서버에 각 BizTalk Server 데이터베이스를 포함할 수 있지만 기본 처리 유형(주로 읽기 작업, 주로 쓰기 작업 또는 둘 다)에 따라 데이터베이스를 결합하는 것이 좋습니다.
각 MessageBox 데이터베이스용 SQL Server. 로드 균형 조정을 위해 더 많은 MessageBox 데이터베이스를 추가할 수 있습니다. 이러한 데이터베이스에서는 읽기와 쓰기 작업이 많이 실행됩니다.
SSO 데이터베이스용 SQL Server. BizTalk Server는 이 데이터베이스에서 주로 읽기 작업을 수행합니다. 이 데이터베이스는 중요한 데이터를 보유하고 있으며 가장 제한적인 액세스 권한을 필요로 합니다.
BizTalk 관리용 SQL Server 및 비즈니스 규칙 엔진 데이터베이스. BizTalk Server 주로 이러한 데이터베이스에서 작업을 읽습니다. 이 서버에는 쓰기 작업을 많이 실행하는 데이터베이스인 추적 데이터베이스도 포함되어 있습니다.
분석 서버 추적 데이터베이스용 SQL Server.
MOM(Microsoft Operations Manager) 데이터베이스용 SQL Server.
로그 전달을 위한 대상 시스템용 SQL Server
중요
장애 조치(failover) 보호를 위해 각 BizTalk 데이터베이스를 클러스터링하는 것이 좋습니다. 장애 조치(failover) 클러스터링 SQL Server 대한 자세한 내용은 의 Microsoft MSDN 웹 사이트를 https://go.microsoft.com/fwlink/?LinkId=131016참조하세요.
참고
로그 전달을 위한 대상 시스템에 대한 자세한 내용은 BizTalk Server 데이터베이스 백업 및 복원을 참조하세요.
위의 그림에서 Forefront TMG(Threat Management Gateway) 2010 서버는 이러한 각 도메인을 보호하고 포함하기 위한 소프트웨어 방화벽 역할을 합니다. 또한 각 도메인에는 중요한 서버를 포함한 도메인(데이터 도메인)에서 외부 연결 서버(경계 네트워크 및 회사 도메인)로 신뢰가 설정된 고유의 도메인 컨트롤러가 있으며, 서버는 연결해야 할 다른 도메인 서비스에만 액세스할 수 있습니다. 서비스 인터페이스와 서비스 도메인(FW1) 모두에서 데이터 도메인으로 트래픽을 제한하는 방화벽이 한 개 있습니다. 마찬가지로 서비스 인터페이스와 작업 도메인 모두에서 서비스 도메인으로 트래픽을 제한하는 방화벽(FW2)도 한 개 있습니다.
회사 도메인. 이 도메인은 인트라넷 도메인이며, 회사 또는 부서에 있는 모든 데스크톱 컴퓨터와 회사에 있는 정보 근로자에게 서비스를 제공하는 모든 서버가 이 도메인에 포함되어 있습니다. 이 도메인 내부에는 두 개의 고유한 논리적 컨테이너가 있습니다.
인트라넷 서비스. 이 컨테이너에는 SQL 및 파일 어댑터에 대해 내부 파트너 사이에서 메시지를 보내고 받는 서버가 있습니다. 인트라넷 서비스이긴 하지만 대부분의 사용자가 계정과 서비스를 보유하고 있는 회사 네트워크와는 다릅니다. 그림의 경계 네트워크와 유사하게 이 컨테이너에 있는 서버 중 일부는 다른 위치에 있을 수 있습니다. 예를 들어 파일 어댑터에 대한 송신 및 수신 위치(폴더)가 서비스 인터페이스 도메인 외부에 있는 계층에 있을 수 있는 반면 SQL 어댑터용 SQL Server를 실행 중인 서버를 서비스 인터페이스 도메인에 배치할 수 있습니다.
작업. 이 컨테이너에는 IT 전문가가 환경에 있는 모든 서버의 성능과 상태를 원격으로 관리, 유지 관리 및 모니터링하기 위해 사용하는 터미널 서비스 클라이언트가 있습니다. IT 전문가는 터미널 서비스를 사용하여 서비스 도메인에 있는 관리 서버에 연결하고 해당 위치에서 환경에 있는 모든 서버에 대한 관리 작업을 수행합니다.
회사 도메인 내부에 개발 컴퓨터를 보유할 수 있더라도 이러한 컴퓨터를 구성하는 작업은 이 문서 범위를 벗어납니다.
정보 작업자 서비스를 포함한 BizTalk Server 아키텍처에 대한 자세한 내용은 Information Worker Services를 사용하는 대규모 분산 아키텍처를 참조하세요.
도메인 사이의 신뢰 관계는 다음과 같습니다.
데이터 도메인은 다른 도메인을 신뢰하지 않습니다.
서비스 인터페이스 도메인은 데이터 도메인을 신뢰합니다.
서비스 도메인은 데이터 도메인을 신뢰합니다.
회사 도메인은 서비스 도메인을 신뢰합니다.
도메인 및 트러스트에 대한 방화벽을 구성하는 방법에 대한 자세한 내용은 의 Microsoft 도움말 및 지원 웹 사이트를 https://go.microsoft.com/fwlink/?LinkId=25230참조하세요.
앞의 그림이 보안에 중점을 두었다면 가용성과 성능을 위해 NLB(네트워크 로드 균형 조정) 및 클러스터링 서비스를 사용하여 아키텍처를 확장할 수도 있습니다.
고가용성 에 대한 자세한 내용은 고가용성 계획을 참조하세요.
성능에 대한 자세한 내용은 지속적인 성능 계획을 참조하세요.
다음 표에는 보관이 필요한 SLA(서비스 수준 계약)에 따라 NLB(네트워크 로드 균형 조정)로 구성할 수 있는 서버 유형이 요약되어 있습니다.
| Name | 형식 | 도메인 |
|---|---|---|
| HTTP(Rec) | 인터넷 정보 서비스 | 경계 네트워크 |
| 수신 핸들러(Isolated) | 인터넷 정보 서비스 | 서비스 인터페이스 도메인 |
| BAM 포털 | 인터넷 정보 서비스 | 서비스 인터페이스 도메인 |
다음 표에는 보관이 필요한 SLA(서비스 수준 계약)에 따라 클러스터링할 수 있는 서버 유형이 요약되어 있습니다.
| Name | 형식 | 도메인 |
|---|---|---|
| Exchange(송신) | Exchange Server | 경계 네트워크 |
| FTP 및 POP3 어댑터용 수신 핸들러(In-process 호스트) | BizTalk Server | 서비스 인터페이스 도메인 회사 도메인 |
| 마스터 보안 서버 | BizTalk Server | 서비스 도메인 |
| 모든 SQL Server | SQL Server | 데이터 도메인 |
정보 작업자 서비스를 포함한 BizTalk Server 아키텍처에 대한 자세한 내용은 Information Worker Services를 사용하는 대규모 분산 아키텍처를 참조하세요.
참고 항목
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기