10.2. 설계 예: 다국적 엔터프라이즈 및 추가 네트워크
이 예에서는 Example Corp에 대한 디렉터리 인프라를 빌드합니다. 국제적. 이전 예제의 Example Corp.은 다국적 대규모 회사로 성장했습니다. 이 예에서는 Example Corp.의 마지막 예제에서 생성된 디렉터리 구조를 기반으로 빌드되어 새로운 요구 사항을 충족하도록 디렉터리 설계를 확장합니다.
예를 들어 Corp.은 미국, 유럽 및 아시아의 세 가지 주요 지리적 위치에 분산 된 조직으로 성장했습니다. Example Corp.는 현재 Example Corp. 지사에 있는 국가에 거주하고 있는 모든 직원이 20,000명 이상 근무하고 있습니다. 예제 Corp.은 회사 전체 LDAP 디렉토리를 실행하여 내부 통신을 개선하고, 웹 애플리케이션을 더 쉽게 개발 및 배포하고, 보안 및 개인 정보를 개선하기 위해 사용합니다.
국제 기업의 디렉터리 트리를 설계하려면 디렉터리 항목을 논리적으로 수집하는 방법, 데이터 관리를 지원하는 방법 및 글로벌 규모에서 복제를 지원하는 방법을 결정해야 합니다.
또한 Example Corp.은 부품 공급 업체 및 거래 파트너가 사용할 엑스트라넷을 만들고자합니다. 엑스트라넷 은 외부 클라이언트에 대한 엔터프라이즈 인트라넷의 확장입니다.
다음 섹션에서는 Example Corp에 대한 다국적 디렉터리 서비스 및 엑스트라넷을 배포하는 과정의 단계에 대해 설명합니다. 국제적.
10.2.1. 다국적 엔터프라이즈 데이터 설계
예제 Corp. 국제적으로 현장 조사를 수행하기 위한 배포 팀을 생성합니다. 배포 팀은 사이트 설문 조사에서 다음을 결정합니다.
- 메시징 서버는 Example Corp.의 대부분의 사이트에 대한 이메일 라우팅, 전달 및 읽기 서비스를 제공하는 데 사용됩니다. 엔터프라이즈 서버는 문서 게시 서비스를 제공합니다. 모든 서버는 Red Hat Enterprise Linux 7에서 실행됩니다.
- example Corp.은 데이터를 로컬에서 관리할 수 있도록 허용해야 합니다. 예를 들어, 유럽 사이트는 디렉터리의 유럽 분기 관리를 담당합니다. 이는 또한 유럽이 데이터의 주요 사본에 대한 책임이 있음을 의미합니다.
- Example Corp.의 지역적 배포로 인해 사용자와 애플리케이션에서 24시간 동안 디렉터리를 사용할 수 있어야 합니다.
- 많은 데이터 요소가 여러 다른 언어의 데이터 값을 수용해야 합니다.참고모든 데이터는 UTF-8 문자 세트를 사용하며 다른 문자는 LDAP 표준을 위반합니다.
또한 배포 팀은 엑스트라넷의 데이터 설계에 대해 다음을 결정합니다.
- 일부 공급업체는 Example Corp.와의 계약을 관리하기 위해 Example Corp.의 디렉토리에 로그인해야 합니다. 부분 공급업체는 인증에 사용되는 데이터 요소(예: 이름 및 사용자 암호)에 의존합니다.
- Example Corp.의 파트너는 이 디렉토리를 사용하여 이메일 주소 및 전화번호와 같은 파트너 네트워크의 연락처 정보를 조회할 것입니다.
10.2.2. 다국적 엔터프라이즈 스키마 설계
Example Corp.는 엑스트라넷을 지원하기 위해 스키마 요소를 추가하여 원래 스키마 설계에 따라 빌드됩니다. 예제 Corp.에서는 두 개의 새 개체, exampleSupplier 개체 클래스와 examplePartner 개체 클래스를 추가합니다.
exampleSupplier 오브젝트 클래스는 하나의 속성인
exampleSupplierID 특성을 허용합니다. 이 속성에는 Example Corp에서 할당한 고유 ID가 포함되어 있습니다. 이것이 작동하는 각 부분 공급 업체에게 국제적입니다.
examplePartner 오브젝트 클래스는 하나의 속성인
examplePartnerID 속성을 허용합니다. 이 속성에는 Example Corp에서 할당한 고유 ID가 포함되어 있습니다. 각 무역 파트너에게 문의하십시오.
기본 디렉터리 스키마 사용자 지정에 대한 자세한 내용은 3.4절. “스키마 사용자 지정” 을 참조하십시오.
10.2.3. 다국적 엔터프라이즈 디렉터리 트리 설계
확장된 요구 사항에 따라 Example Corp.는 다음 디렉터리 트리를 생성합니다.
- 디렉터리 트리의 루트는
dc=com접미사입니다. 이 접미사 아래에 Example Corp.는 두 개의 분기를 생성합니다. 하나의 분기인dc=exampleCorp,dc=com에는 Example Corp 내부 데이터가 포함되어 있습니다. 국제적. 다른 분기dc=exampleNet,dc=com에는 extranet에 대한 데이터가 포함되어 있습니다. - 인트라넷의 디렉터리 트리(
dc=exampleCorp,dc=com)에는 각각 Example Corp.에 지사가 있는 리전 중 하나에 해당하는 3개의 주요 분기가 있습니다. 이러한 분기는l(로컬) 속성을 사용하여 식별됩니다. dc=exampleCorp,dc=com아래의 각 주요 분기는 Example Corp의 원래 디렉터리 트리 설계를 모방합니다. Example Corp.는 각 지역에 따라ou=people,ou=groups,ou=roles,ou=resources분기를 생성합니다. 이 디렉터리 트리 설계에 대한 자세한 내용은 그림 10.1. “Example Corp의 디렉터리 트리입니다.” 을 참조하십시오.dc=exampleNet,dc=com분기에서 Example Corp.는 세 개의 분기를 생성합니다. 공급업체(o=suppliers)를 위한 하나의 브랜치, 파트너를 위한 하나의 브랜치(o=partners) 및 그룹(ou=groups)을 위한 하나의 브랜치.ou=groups분기에는 엑스트라넷 관리자에 대한 항목이 포함되어 있으며, 엑스트라우팅이 제공하는 메일링 목록에 대한 항목도 포함되어 있습니다.
다음 다이어그램은 위에 나열된 설계 단계에서 발생하는 기본 디렉터리 트리를 보여줍니다.
그림 10.6. Example Corp의 기본 디렉터리 트리입니다. 국제
다음 다이어그램은 Example Corp. intranet의 디렉터리 트리를 보여줍니다.
그림 10.7. Example Corp의 디렉터리 트리입니다. International's Intranet
l=Asia 항목의 항목은 다음과 같이 LDIF에 표시됩니다.
dn: l=Asia,dc=exampleCorp,dc=com objectclass: top objectclass: locality l: Asia description: includes all sites in Asia
다음 다이어그램에서는 Example Corp.s extranet의 디렉터리 트리를 보여줍니다.
그림 10.8. Example Corp의 디렉터리 트리입니다. International's Extranet
10.2.4. 다국적 엔터프라이즈 토폴로지 설계
이 시점에서 Example Corp.는 데이터베이스 및 서버 토폴로지를 설계합니다. 다음 섹션에서는 각 토폴로지에 대해 자세히 설명합니다.
10.2.4.1. 데이터베이스 토폴로지
다음 다이어그램은 Example Corp.의 주요 지역, 유럽 중 하나의 데이터베이스 토폴로지를 보여줍니다.
그림 10.9. Example Corp의 데이터베이스 토폴로지. 유럽
데이터베이스 링크는 각 국가에 로컬로 저장된 데이터베이스를 가리킵니다. 예를 들어 Example Corp에서 수신한 작업 요청은 다음과 같습니다.
l=US 분기 아래 데이터에 대한 유럽 서버는 텍스트 Austin의 서버에 있는 데이터베이스에 대한 데이터베이스 링크에 의해 연결됩니다. 데이터베이스 링크 및 체인에 대한 자세한 내용은 6.3.2절. “체인 사용” 을 참조하십시오.
dc=exampleCorp,dc=com 및 root 항목인 dc=com 에 대한 데이터의 주요 사본은 l=Europe 데이터베이스에 저장됩니다.
유럽의 데이터 센터에는 엑스트라넷의 데이터 주요 사본이 포함되어 있습니다. 엑스트라넷 데이터는 세 개의 데이터베이스에 저장되며 각각 주요 분기에 대해 하나씩 저장됩니다.
o=suppliers 에 대한 데이터의 주요 사본은 데이터베이스 1(DB1)에 저장되며, o=partners 의 경우 데이터베이스 2(DB2)에 저장되고 ou=groups 의 경우 데이터베이스 3(DB3)에 저장됩니다.
extranet의 데이터베이스 토폴로지는 다음과 같습니다.
그림 10.10. Example Corp의 데이터베이스 토폴로지. International's Extranet
10.2.4.2. 서버 토폴로지
예 Corp.은 회사 인트라넷용 서버 토폴로지 두 개와 파트너 엑스트라넷을 위한 서버 토폴로지를 개발합니다.
인트라넷의 경우 Example Corp.은 각 주요 지역에 대한 공급자 데이터베이스를 구축하기로 결정합니다. 즉, 각각 두 개의 공급자 서버, 허브 서버 2개, 소비자 서버 3개가 포함된 데이터 센터가 3개 있습니다.
다음 다이어그램은 Example Corp의 아키텍처를 보여줍니다. 유럽의 데이터 센터:
그림 10.11. Example Corp의 서버 토폴로지. 유럽
Example Corp.의 엑스트라넷의 데이터 공급 업체는 유럽에 있습니다. 이 데이터는 미국 데이터 센터에 있는 두 소비자 서버와 아시아 데이터 센터의 소비자 서버로 복제됩니다. 전반적으로 Example Corp.은 엑스트라넷을 지원하기 위해 10 대의 서버가 필요합니다.
다음 다이어그램은 유럽 데이터 센터에 있는 Example Corp.의 엑스트라넷의 서버 아키텍처를 보여줍니다.
그림 10.12. Example Corp의 서버 토폴로지. International's Extranet
허브 서버는 유럽, 미국 및 아시아의 각 데이터 센터에 있는 두 소비자 서버에 데이터를 복제합니다.
10.2.5. 다국적 엔터프라이즈 복제 설계
예제 Corp.에서는 디렉터리에 대한 복제를 설계할 때 다음 사항을 고려합니다.
- 데이터는 로컬로 관리됩니다.
- 네트워크 연결의 품질은 사이트마다 다릅니다.
- 데이터베이스 링크는 원격 서버의 데이터를 연결하는 데 사용됩니다.
- 데이터의 읽기 전용 복사본이 포함된 Hub 서버는 소비자 서버에 데이터를 복제하는 데 사용됩니다.
허브 서버는 메일 서버 또는 웹 서버와 같은 중요한 디렉터리 지원 애플리케이션 근처에 있습니다.
Hub 서버는 공급자 서버에서 복제 부담을 제거하여 공급자 서버가 쓰기 작업에 중점을 둘 수 있습니다. 나중에 Example Corp.가 확장되고 더 많은 소비자 서버를 추가해야 하므로 추가 소비자는 공급자 서버의 성능에 영향을 미치지 않습니다.
허브 서버에 대한 자세한 내용은 7.2.3절. “cascading Replication” 을 참조하십시오.
10.2.5.1. 공급업체 아키텍처
Example Corp. intranet의 경우 각 지역성은 데이터의 주요 복사본을 저장하고 데이터베이스 링크를 사용하여 다른 지역의 데이터에 체인합니다. 데이터의 주요 사본에 대해 각 지역성은 다중 제공 복제 아키텍처를 사용합니다.
다음 다이어그램은
dc=exampleCorp,dc=com 및 dc=com 정보를 포함하는 유럽의 공급자 아키텍처를 보여줍니다.
그림 10.13. Example Corp의 공급업체 아키텍처. 유럽
각 지역에는 해당 사이트에 대한 데이터의 주요 사본을 공유하는 두 개의 공급 업체가 포함되어 있습니다. 따라서 각 지역성은 자체 데이터의 주요 사본에 대한 책임이 있습니다. 멀티 공급 업체 아키텍처를 사용하면 데이터 가용성을 보장하고 각 공급자 서버에서 관리하는 워크로드의 균형을 유지하는 데 도움이 됩니다.
전체 실패 위험을 줄이기 위해 Example Corp.는 각 사이트에서 여러 읽기-쓰기 공급자 디렉터리 서버를 사용합니다.
다음 다이어그램은 유럽의 두 공급자 서버와 미국 내 두 공급자 서버 간의 상호 작용을 보여줍니다.
그림 10.14. Example Corp의 Multi-Supplier Replication Design. 유럽 및 Example Corp. US
Example Corp과 동일한 관계가 있습니다. 미국 및 Example Corp. 아시아 및 Example Corp. 유럽 및 Example Corp. 아시아.
10.2.6. 다국적 엔터프라이즈 보안 설계
예제 Corp. 이전 보안 설계를 기반으로 하여 새로운 다국적 인트라넷을 지원하기 위해 다음과 같은 액세스 제어를 추가합니다.
- 예를 들어 Corp.은 인트라넷의 루트에 일반 ACI를 추가하여 각 국가에서 더 제한적인 ACI 및 각 국가의 분기를 생성합니다.
- 예제 Corp.은 디렉터리의 ACI 수를 최소화하기 위해 매크로 ACI를 사용하기로 결정합니다.Example Corp.는 매크로를 사용하여 ACI의 대상 또는 바인딩 규칙 부분에서 DN을 나타냅니다. 디렉터리가 들어오는 LDAP 작업을 가져오면 ACI 매크로가 LDAP 작업에서 대상으로 하는 리소스와 일치하게 됩니다. 일치하는 경우 매크로가 대상 리소스의 DN의 값으로 교체됩니다.매크로 ACI에 대한 자세한 내용은 Red Hat Directory Server 관리자 가이드를 참조하십시오.
Example Corp.는 다음 액세스 제어를 추가하여 엑스트라넷을 지원합니다.
- 예 Corp.은 모든 추가 작업에 대해 인증서 기반 인증을 사용하기로 결정합니다. 사용자가 엑스트라넷에 로그인하면 디지털 인증서가 필요합니다. 디렉터리는 인증서를 저장하는 데 사용됩니다. 디렉터리는 인증서를 저장하므로 사용자는 디렉터리에 저장된 공개 키를 확인하여 암호화된 이메일을 보낼 수 있습니다.
- Example Corp.는 엑스트라넷에 대한 익명 액세스를 금지하는 ACI를 생성합니다. 이렇게 하면 서비스 거부 공격으로부터 엑스트라넷을 보호합니다.
- 예제 Corp.에서는 Example Corp. hosted 애플리케이션에서만 디렉터리 데이터를 업데이트하려고 합니다. 즉, 엑스트라넷을 사용하는 파트너 및 공급업체는 Example Corp에서 제공하는 툴만 사용할 수 있습니다. 엑스트라넷 사용자를 Example Corp.의 기본 설정으로 제한하면 Example Corp. 관리자가 감사 로그를 사용하여 디렉터리 사용을 추적하고 Example Corp 외부에서 엑스트라넷 사용자가 도입할 수 있는 문제 유형을 제한할 수 있습니다. 국제적.
