Red Hat Summit8.2. 多国籍企業の設計例
ExampleCom は、以前は ローカル企業のデザイン例 の小さな会社でしたが、米国、ヨーロッパ、アジアの 3 つの地理的場所に分散する大規模な組織に成長しました。現在、同社には 20,000 人を超える従業員がおり、すべての従業員は ExampleCom オフィスがある国に住み、働いています。
ExampleCom は、社内コミュニケーションを改善し、Web アプリケーションの開発とデプロイを容易にし、セキュリティーとプライバシーを強化するために、全社的な LDAP ディレクトリーを開始することを決定しました。
グローバル企業向けのディレクトリーツリーを設計する場合、ExampleCom は次の質問に対する解決策を見つける必要があります。
- ディレクトリーエントリーを論理的に収集するにはどうすればよいですか?
- データ管理をサポートするにはどうすればよいですか?
- グローバル規模でレプリケーションをサポートするにはどうすればよいでしょうか?
さらに、ExampleCom は、サプライヤーや取引先が使用できるエクストラネットを作成し、このエクストラネットを会社のイントラネットの拡張として外部クライアントに実装したいと考えています。
8.2.1. 多国籍企業向けのデータ設計
ExampleCom International は、サイト調査を実行するためのデプロイメントチームを作成します。デプロイメントチームは、サイト調査から次の重要なポイントを決定します。
- メッセージングサーバーは、ほとんどの ExampleCom サイトでメールのルーティング、配信、および読み取りサービスを提供するために使用されます。企業サーバーは、ドキュメント公開サービスを提供します。すべてのサーバーは Red Hat Directory Server 12 上で実行されます。
- ExampleCom International では、管理者がデータをローカルで管理できるようにする必要があります。たとえば、ヨーロッパのサイトは、ディレクトリーのヨーロッパブランチの管理と、このブランチデータのメインコピーを行います。
- ExampleCom International のオフィスは地理的に分散しているため、ユーザーとアプリケーションは 24 時間ディレクトリーにアクセスする必要があります。
特定のデータ要素のデータ値は複数の言語で指定する必要があります。
注記すべてのデータは UTF-8 文字セットを使用します。その他の文字セットは LDAP 標準に違反します。
さらに、エクストラネットのデータ設計では、次の条件が満たされていることを確認する必要があります。
- 部品サプライヤーは、ExampleCom International ディレクトリーにログインして、同社との契約を管理する必要があります。パーツのサプライヤーは、名前やユーザーパスワードなどの、認証に使用するデータ要素に依存します。
- 取引先は、ディレクトリーを使用して、メールアドレスや電話番号など、パートナーネットワーク内の人々の連絡先の詳細を検索します。
8.2.2. 多国籍企業向けスキーマ設計
ExampleCom International は、オリジナルのスキーマ設計を使用し、エクストラネットをサポートするために 2 つの新しいオブジェクトクラスを追加します。
-
exampleSupplierオブジェクトクラスでは、exampleSupplierID属性が許可されます。この属性には、ExampleCom International が各自動車部品サプライヤーに割り当てる一意の ID が含まれます。 -
examplePartnerオブジェクトクラスでは、examplePartnerID属性が許可されます。この属性には、ExampleCom International が各取引パートナーに割り当てる一意の ID が含まれます。
デフォルトのディレクトリースキーマのカスタマイズに関する詳細は、スキーマのカスタマイズ を参照してください。
8.2.3. 多国籍企業向けディレクトリーツリー設計
ExampleCom International は次のディレクトリーツリーを作成します。
図8.6 ExampleCom International の基本ディレクトリーツリー
dc=com 接尾辞はディレクトリーツリーのルートです。この接尾辞の下で、同社は次のブランチを作成します。
-
ExampleCom International の内部データが含まれる
dc=exampleCom,dc=comブランチ。 -
エクストラネットのデータが含まれる
dc=exampleNet,dc=comブランチ。
dc=exampleCom,dc=com の下のイントラネットのディレクトリーツリーには、3 つのメインブランチがあります。各ブランチは、ExampleCom International がオフィスを構えるリージョンの 1 つに対応しています。これらのブランチは、l (locality) 属性を使用して識別されます。
ExampleCom International は、dc=exampleNet,dc=com ブランチの下に次のブランチを作成します。
-
会社が取引しているサプライヤーの
o=suppliersブランチ。 -
取引先用の
o=partnersブランチ。 -
ou=groupsブランチには、エクストラネットの管理者のエントリーと、自動車部品製造に関する最新情報を得るためにパートナーがサブスクライブするメーリングリストのエントリーが含まれています。
8.2.3.1. ExampleCom International のイントラネット設計
dc=exampleCom,dc=com の下の各ブランチは、ローカルエンタープライズ例のディレクトリーツリー設計 からの ExampleCom の元のディレクトリーツリー設計を繰り返します。
図8.7 イントラネットのディレクトリーツリーの例
ExampleCom International は、各地域に次のブランチポイントを作成します。
-
ou=people -
ou=groups -
ou=roles -
ou=resources
l=Asia 地域のエントリーは、LDIF では次のように表示されます。
dn: l=Asia,dc=exampleCom,dc=com objectclass: top objectclass: locality l: Asia description: includes all sites in Asia
dn: l=Asia,dc=exampleCom,dc=com
objectclass: top
objectclass: locality
l: Asia
description: includes all sites in Asia8.2.3.2. ExampleCom International のエクストラネット設計
次の図は、ExampleCom エクストラネットのディレクトリーツリーを示しています。
図8.8 エクストラネットのディレクトリーツリーの例
8.2.4. 多国籍企業向けのトポロジー設計
ExampleCom International のデプロイメントチームは、ディレクトリーデータベースとサーバートポロジーの設計を開始します。
8.2.4.1. ExampleCom International のデータベーストポロジー
ExampleCom International は、すべての地域で同じトポロジー設計を使用しています。ただし、ヨーロッパ地域には、次のブランチのデータのメインコピーが保存されます。
-
dc=comルートエントリー -
dc=exampleCom,dc=comの下のイントラネット -
dc=exampleNet,dc=comの下のエクストラネット
次の図は、ヨーロッパ地域のデータベーストポロジーを示しています。
図8.9 ExampleCom Europe のデータベーストポロジー
l=Europe データベースには、dc=exampleCom,dc=com および dc=com エントリーのメインコピーが保存されます。
Database link 1 および Database link 2 は、各国にローカルに保存されているデータベースを指します。たとえば、ExampleCom Europe サーバーが l=USA ブランチの下のデータに対して受信する操作要求は、データベースリンクによって米国のサーバー上のデータベースにチェーンされます。データベースリンクとチェイニングの詳細は、チェイニングの使用 を参照してください。
ヨーロッパのサーバーには、エクストラネットのデータのメインコピーが含まれています。エクストラネットデータは、次の方法で 3 つのデータベースに保存されます。
-
Database 1には、o=suppliersブランチのメインコピーが保存されます。 -
Database 2には、o=partnersブランチのメインコピーが保存されます。 -
Database 3には、ou=groupsブランチのメインコピーが保存されます。
以下の図は、エクストラネットのデータベーストポロジーを示しています。
図8.10 ExampleCom International エクストラネットのデータベーストポロジー
8.2.4.2. ExampleCom International のサーバートポロジー
ExampleCom International は、以下のタイプのサーバートポロジーを開発しています。
企業イントラネットのトポロジー。ExampleCom は、ヨーロッパ、米国、アジアの各主要地域に 1 つずつ、合計 3 つのデータセンターを設置することを決定しました。各データセンターには次のサーバーが含まれます。
- 2 つのサプライヤーサーバー。
- 2 つのハブサーバー。
- 3 つのコンシューマーサーバー。
- パートナーエクストラネットのトポロジー。
以下の図は、ExampleCom Europe データセンターのアーキテクチャーを示しています。
図8.11 ExampleCom Europe のサーバートポロジー
ヨーロッパのデータセンターには、ExampleCom エクストラネットのメインコピーが含まれています。このデータは、米国のデータセンターにある 2 つのコンシューマーサーバーと、アジアのデータセンターにある 2 つのコンシューマーサーバーにレプリケートされます。全体として、ExampleCom ではエクストラネットをサポートするために 10 台のサーバーが必要です。
以下の図は、ヨーロッパデータセンターの ExampleCom エクストラネットのサーバーアーキテクチャーを示しています。
図8.12 ExampleCom International エクストラネットのサーバートポロジー
ハブサーバーは、ヨーロッパ、米国、アジアの各データセンターの 2 つのコンシューマーサーバーにデータをレプリケートします。
8.2.5. 多国籍企業向けのレプリケーション設計
ExampleCom International は、ディレクトリーのレプリケーションを設計する際に以下の点を考慮します。
- データはローカルで管理されます。
- ネットワーク接続の品質は、サイトごとに異なります。
- データベースリンクは、リモートサーバー上のデータを接続するために使用されます。
- データの読み取り専用コピーを含むハブサーバーは、コンシューマーサーバーにデータをレプリケートするために使用されます。
ハブサーバーは、メールサーバーや Web サーバーなどの重要なディレクトリー対応アプリケーションの近くに配置されます。
サプライヤーサーバーが書き込み操作に集中できるように、ハブサーバーのみがレプリケーションを実行します。
将来的に ExampleCom が拡張し、より多くのコンシューマーサーバーを追加する必要がある場合でも、追加のコンシューマーはサプライヤーサーバーのパフォーマンスに影響を与えません。
マルチサプライヤーアーキテクチャー
ExampleCom イントラネットでは、各地域がそのデータのメインコピーを保存し、データベースリンクを使用して他の地域のデータに転送します。
データのメインコピーには、各地域でマルチサプライヤーレプリケーションアーキテクチャーが使用されています。
以下の図は、dc=exampleCom,dc=com および dc=com ブランチを含むヨーロッパ地域のマルチサプライヤーアーキテクチャーを示しています。
図8.13 ExampleCom Europe 向けマルチサプライヤーアーキテクチャー
各地域には 2 つのサプライヤーが含まれており、そのサイトのデータのメインコピーを共有しています。各地域は、その地域のデータのメインコピーに対して責任を負います。
マルチサプライヤーアーキテクチャーを使用すると、データの可用性が確保され、各サプライヤーサーバーによって管理されるワークロードのバランスを取ることができます。
全面的な障害のリスクを軽減するために、ExampleCom は各サイトで複数の読み取り/書き込みサプライヤー Directory Servers を使用しています。
次の図は、ヨーロッパの 2 つのサプライヤーサーバーと米国の 2 つのサプライヤーサーバー間の相互作用を示しています。
図8.14 ExampleCom Europe および ExampleCom USA のマルチサプライヤーアーキテクチャー
ExampleCom USA と ExampleCom Asia の間、および ExampleCom Europe と ExampleCom Asia の間に、同様の関係が存在します。
8.2.6. 多国籍企業向けのセキュリティー設計
ExampleCom International は、以前のセキュリティー設計を使用して次のアクセス制御を追加し、新しい多国籍イントラネットをサポートしています。
- ExampleCom は、一般的な ACI をイントラネットのルートに追加し、各国および各国の下の支社により制限の厳しい ACI を作成します。
ExampleCom は、ディレクトリー内の ACI の数を最小限に抑えるために、マクロ ACI を使用することを決定します。
ExampleCom はマクロを使用して、ACI のターゲットまたはバインドルール部分で DN を表します。ディレクトリーが着信 LDAP 操作を取得すると、ACI マクロは LDAP 操作の対象となるリソースと照合されます。一致した場合、Directory Server はマクロを対象リソースの DN の値に置き換えます。
マクロ ACI の詳細は、マクロアクセス制御命令の使用 を参照してください。
ExampleCom は、エクストラネットをサポートするために次のアクセス制御を追加します。
- ExampleCom は、すべてのエクストラネットアクティビティーに証明書ベースの認証を使用することを決定します。エクストラネットにログインする場合、ユーザーはデジタル証明書が必要です。ディレクトリーには証明書が保存されます。したがって、ユーザーはディレクトリーに保存されている公開鍵を検索することで、暗号化されたメールを送信できます。
- ExampleCom は、エクストラネットへの匿名アクセスを禁止する ACI を作成します。これにより、サービス拒否攻撃からエクストラネットを守ることができます。
- ExampleCom では、ディレクトリーデータの更新が ExampleCom がホストするアプリケーションからのみ行われるようにしたいと考えています。つまり、エクストラネットを使用するパートナーとサプライヤーは、ExampleCom が提供するツールのみを使用できます。エクストラネットユーザーを ExampleCom 推奨ツールに制限することで、ExampleCom 管理者は監査ログを使用してディレクトリーの使用状況を追跡し、ExampleCom International 外部のエクストラネットユーザーによって発生する可能性のある問題の種類を制限できます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}