大型分散式架構
如需BizTalk Server部署系統架構的完整資訊,請參閱範例BizTalk Server架構。
本節所呈現的架構是用於生產環境。 並不包含開發或測試環境,也不適合當做環境中網路管理的建議。 如需將設定從開發暫存到測試環境,以及從測試到生產環境的詳細資訊,請參閱 部署 BizTalk 應用程式。
下圖顯示高度分散式 BizTalk Server 架構,其中考慮到深層防禦。
分散式BizTalk Server安全架構
此架構包含下列五個網域:
周邊網路。 周邊網路 (也稱為 DMZ、非目的地區域和篩選子網) ,包含為企業提供網際網路相關服務的伺服器。 此網域可以包含實體位置本位目錄的伺服器,這些實體位置負責外部式網際網路傳輸,以傳送和接收 BizTalk Server 的訊息。 在此網域中沒有 BizTalk Server、BizTalk 接收位置或企業單一登入伺服器。 若您使用 SOAP 或 HTTP 配接器,則可以使用反向 Proxy 規則 (Forefront Threat Management Gateway (TMG) 2010 Server 實作稱為「Web 發佈」) 從外部式網際網路的防火牆 (FW4) 傳遞訊息到保護服務介面網域 (FW3) 的防火牆。 如需 Web 發佈規則的詳細資訊,請參閱 microsoft 網站,網址為 https://go.microsoft.com/fwlink/?LinkID=205340 (https://go.microsoft.com/fwlink/?LinkID=205340) 。
在之前的圖表中,周邊網路中的伺服器是代表 BizTalk Server 環境之外網域中的伺服器。 因此,其中一些伺服器可能在遠端位置。 例如,檔案傳輸通訊協定 (FTP) 伺服器可以在遠端位置;Simple Mail Transfer Protocol (SMTP) 伺服器可以是企業的電子郵件伺服器、網際網路服務提供者 (ISP) 伺服器或遠端 SMTP 伺服器。
服務介面網域。 這是開始訊息處理的網域。 此網域包含具有 BizTalk 接收和傳送處理常式的伺服器。 這是 BizTalk Server 連接埠、接收位置、管線、對應、結構描述以及組件所在的位置,用來接收、傳遞和傳送訊息。 此網域中的 BizTalk Server 數目依企業效能需求所需的主控件與主控件執行個體的數目而定。
服務網域。 此網域包含服務介面網域中的伺服器所信任、而且成功處理訊息時所需的服務,但是這需要較高層級的防禦以免遭受來自周邊網路 (例如具有 BizTalk 協調流程、管線、「企業單一登入」(SSO) 服務、商務規則引擎以及其他商務程序的處理伺服器) 的攻擊。
此網域還包含企業網域需要存取但仍需要保護以免於外部威脅的服務。 此網域中的其中一部伺服器裝載管理工具:BizTalk 管理主控台和企業單一 Sign-On (SSO) 系統管理公用程式。 此網域還包含 SSO 主要密碼伺服器,其中保存 SSO 系統用來加密 SSO 資料庫中資料的主要密碼 (加密金鑰)。 此網域中的其中一部伺服器具有主機實例,可支援追蹤健康情況監視和商務監視資料。
注意
在「企業單一登入」系統中,有些處理伺服器可能只包含無 BizTalk Server 元件的 SSO 服務。 如需詳細資訊,請參閱 Enterprise 單一登入的高可用性。
資料網域。 資料欄是網際網路最遠的地方,因為它包含儲存重要商務和處理資料的SQL Server資料庫,而且不信任任何其他網域。 雖然您可以在執行SQL Server的不同伺服器上擁有每個BizTalk Server資料庫,但建議您根據執行 (大部分讀取作業、大部分寫入作業或兩者) 的主要處理類型來合併資料庫:
每個 MessageBox 資料庫的 SQL Server。 您可以新增多個 MessageBox 資料庫使負載平衡。 這些是密集讀取與密集寫入的資料庫。
SSO 資料庫的 SQL Server。 BizTalk Server大部分都會在此資料庫中執行讀取作業。 此資料庫保存敏感性資料,需要最嚴格的存取權限。
BizTalk 管理和商務規則引擎資料庫的SQL Server。 BizTalk Server 在這些資料庫中大部分是執行讀取作業。 此伺服器也包含追蹤資料庫,這是密集寫入的資料庫。
「分析伺服器追蹤」資料庫的 SQL Server。
Microsoft Operations Manager (MOM) 資料庫的 SQL Server。
供記錄傳送之用的目的地系統之 SQL Server
重要
若要進行容錯移轉保護,建議您叢集每個 BizTalk 資料庫。 如需容錯移轉叢集SQL Server的詳細資訊,請參閱 Microsoft MSDN 網站,網址為 https://go.microsoft.com/fwlink/?LinkId=131016 。
注意
如需記錄傳送目的地系統的詳細資訊,請參閱備份和還原BizTalk Server資料庫。
在上圖中,Forefront Threat Management Gateway (TMG) 2010 Server 扮演軟體防火牆的角色,以保護和圈管其中每個網域。 此外,每個網域都有它自己的網域控制站,建立從包含重要伺服器 (資料網域) 的網域到面對外部伺服器 (周邊網路與企業網域) 的信任,而且伺服器只能存取需要連線的其他網域中的服務。 有一個限制從服務介面與服務網域 (FW1) 到資料網域之流量的防火牆。 同理,也有一個限制從服務介面與作業網域到服務網域之流量的防火牆 (FW2)。
企業網域。 這是內部網路網域,其中包含企業或部門中所有的桌上型電腦,以及提供公司內資訊工作者服務的所有伺服器。 此網域中有兩個不同的邏輯容器:
內部網路服務。 此容器具有伺服器,可接收和傳送 SQL 和檔案配接器內部夥伴的訊息,以及從內部夥伴傳送訊息。 雖然這是內部網路,但它不同於多數使用者都擁有帳戶與服務的內部網路。 與圖中的周邊網路類似,此容器中有些伺服器可以在不同的位置。 例如,FILE 配接器的傳送和接收位置 (資料夾) 可以在服務介面網域外部的任一層,而您可以將為 SQL 配接器執行 SQL Server 的伺服器放在服務介面網域上。
作業。 此容器擁有 IT 專家用來遠端管理、維護以及監控環境中所有伺服器效能與狀況的「終端服務」用戶端。 IT 專家可以使用「終端服務」連線到服務網域的管理伺服器,然後在管理伺服器上執行環境中所有伺服器的管理工作。
您的企業網域中可能會有開發電腦,但這些電腦的組態不在本文的討論範圍中。
如需BizTalk Server架構的詳細資訊,包括資訊工作者服務,請參閱具有資訊工作者服務的大型分散式架構。
網域之間的信任如下:
資料網域不信任任何其他網域。
服務介面網域信任資料網域。
服務網域信任資料網域。
企業網域信任服務網域。
如需為網域和信任設定防火牆的詳細資訊,請參閱 Microsoft 說明及支援網站,網址為 https://go.microsoft.com/fwlink/?LinkId=25230 。
前面的圖例著重在安全性,而您也可以擴充「網路負載平衡」(NLB) 和叢集服務的架構以提升可用性和效能。
如需高可用性的詳細資訊,請參閱 規劃高可用性。
如需效能的詳細資訊,請參閱 規劃持續效能。
下表摘要您可根據需要取得的「服務等級協議」(SLA),以「網路負載平衡」(NLB) 設定的伺服器類型:
| 名稱 | 類型 | 網域 |
|---|---|---|
| HTTP (Rec) | Internet Information Services | 周邊網路 |
| 接收處理常式 (外掛式) | Internet Information Services | 服務介面網域 |
| BAM 入口網站 | Internet Information Services | 服務介面網域 |
下表摘要您可根據需要取得的「服務等級協議」(SLA) 以進行叢集的伺服器類型:
| 名稱 | 類型 | 網域 |
|---|---|---|
| Exchange (傳送) | Exchange Server | 周邊網路 |
| FTP 與 POP3 配接器的接收處理常式 (內含式主控件) | BizTalk Server | 服務介面網域 企業網域 |
| 主要密碼伺服器 | BizTalk Server | 服務網域 |
| 所有 SQL Server | SQL Server | 資料網域 |
如需BizTalk Server架構的詳細資訊,包括資訊工作者服務,請參閱具有資訊背景工作服務的大型分散式架構。