8.2. 다국적 엔터프라이즈 설계 예
이전에는 로컬 엔터프라이즈 설계 예제 의 소규모 회사인 ExampleCom은 미국, 유럽 및 아시아의 세 가지 지역에 분산된 대규모 조직으로 성장했습니다. 이 회사는 현재 20,000명 이상의 직원이 있으며, 모든 직원이 ExampleCom 사무실이 있는 국가에 거주하고 있습니다.
ExampleCom은 회사 전체 LDAP 디렉토리를 시작하여 내부 통신을 개선하여 웹 애플리케이션을 보다 쉽게 개발 및 배포하고 보안 및 개인 정보를 개선하기로 결정했습니다.
국제 회사의 디렉터리 트리를 설계할 때 ExampleCom은 다음 질문에 대한 솔루션을 찾아야 합니다.
- 디렉토리 항목을 논리적으로 수집하는 방법은 무엇입니까?
- 데이터 관리를 어떻게 지원할 수 있습니까?
- 글로벌 규모에서 복제를 지원하는 방법은 무엇입니까?
또한 ExampleCom은 공급업체 및 거래 파트너가 외부 클라이언트에 회사 인트라넷의 확장으로 이 엑스트라넷을 사용하고 구현할 수 있는 엑스트라넷을 만들고자 합니다.
8.2.1. 다국적 기업의 데이터 설계
ExampleCom International은 설문 조사를 수행하기 위한 배포 팀을 생성합니다. 배포 팀은 사이트 설문 조사에서 다음 주요 포인트를 결정합니다.
- 메시징 서버는 대부분의 ExampleCom 사이트에 대한 이메일 라우팅, 전달 및 읽기 서비스를 제공하는 데 사용됩니다. 엔터프라이즈 서버는 문서 게시 서비스를 제공합니다. 모든 서버는 Red Hat Directory Server 12에서 실행됩니다.
- ExampleCom International은 관리자가 데이터를 로컬에서 관리할 수 있도록 허용해야 합니다. 예를 들어, 유럽 사이트는 디렉터리의 유럽 지점과 이 분기 데이터의 주요 사본을 관리하는 역할을 담당합니다.
- ExampleCom 국제 사무실의 지리적 배포로 사용자 및 애플리케이션은 하루 24시간 디렉터리에 액세스해야 합니다.
특정 데이터 요소의 데이터 값은 여러 언어로 되어 있어야 합니다.
참고모든 데이터는 UTF-8 문자 세트를 사용합니다. 다른 문자 세트는 LDAP 표준을 위반합니다.
또한 엑스트라넷의 데이터 설계는 다음 조건이 충족되어야 합니다.
- 일부 공급업체는 회사 계약 관리를 위해 ExampleCom International 디렉터리에 로그인해야 합니다. 부분 공급업체는 인증에 사용되는 데이터 요소(예: 이름 및 사용자 암호)에 의존합니다.
- 거래 파트너는 이 디렉토리를 사용하여 이메일 주소 및 전화번호와 같은 파트너 네트워크의 연락처 정보를 조회할 것입니다.
8.2.2. 다국적 기업의 스키마 설계
ExampleCom International은 원래 스키마 설계를 사용하고 엑스트라넷을 지원하기 위해 두 가지 새로운 오브젝트 클래스를 추가합니다.
-
exampleSupplier
오브젝트 클래스는exampleSupplierID
특성을 허용합니다. 이 속성에는 ExampleCom International에서 각 기타 부품 공급 업체에 할당하는 고유 ID가 포함되어 있습니다. -
examplePartner
오브젝트 클래스는examplePartnerID
특성을 허용합니다. 이 속성에는 ExampleCom International에서 각 거래 파트너에게 할당하는 고유 ID가 포함되어 있습니다.
기본 디렉터리 스키마 사용자 지정에 대한 자세한 내용은 스키마 사용자 지정을 참조하십시오.
8.2.3. 다국적 기업의 디렉터리 트리 설계
ExampleCom International은 다음 디렉터리 트리를 생성합니다.
그림 8.6. ExampleCom International의 기본 디렉터리 트리
dc=com
접미사는 디렉터리 트리의 루트입니다. 이 접미사 아래에 회사는 다음 분기를 생성합니다.
-
ExampleCom International의 내부 데이터가 포함된
dc=exampleCom,dc=com
분기입니다. -
extranet에 대한 데이터를 포함하는
dc=exampleNet,dc=com
분기입니다.
dc=exampleCom,dc=com
에서 인트라넷의 디렉터리 트리에는 세 가지 주요 분기가 있습니다. 각 분기는 ExampleCom International에 사무실이 있는 지역 중 하나에 해당합니다. 이러한 분기는 l
(로컬) 속성을 사용하여 식별됩니다.
dc=exampleNet,dc=com
브랜치 아래에 ExampleCom International은 다음과 같은 분기를 생성합니다.
-
회사가 협력하는 공급 업체의
o=suppliers
브랜치. -
거래
파트너를 위한 o=파트너
분기입니다. -
ou=groups
분기에는 엑스트라넷 관리자 및 메일링 목록에 대한 항목이 포함된 ou=groups 분기는 파트너사가 기타 부품 제조에 대한 최신 정보를 구독합니다.
8.2.3.1. ExampleCom International의 인트라넷 설계
dc=exampleCom,dc=com
아래의 각 분기는 로컬 엔터프라이즈 예제의 디렉터리 트리 설계에서 ExampleCom의 원래 디렉터리 트리 설계를 반복합니다.
그림 8.7. 인트라넷의 디렉터리 트리 예
각 지역에 따라 ExampleCom International은 다음 분기 지점을 생성합니다.
-
ou=people
-
ou=groups
-
ou=roles
-
ou=resources
l=Asia
locality의 항목은 다음과 같이 LDIF에 나타납니다.
dn: l=Asia,dc=exampleCom,dc=com objectclass: top objectclass: locality l: Asia description: includes all sites in Asia
8.2.3.2. ExampleCom International의 엑스트라넷 설계
다음 다이어그램은 ExampleCom extranet의 디렉터리 트리를 보여줍니다.
그림 8.8. 엑스트라넷의 디렉터리 트리 예
8.2.4. 다국적 기업의 토폴로지 설계
ExampleCom International 배포 팀은 디렉터리 데이터베이스 및 서버 토폴로지를 설계하기 시작합니다.
8.2.4.1. ExampleCom International의 데이터베이스 토폴로지
ExampleCom International은 모든 지역에 대해 동일한 토폴로지 설계를 사용합니다. 그러나 유럽 지역성은 다음 분기에 대한 데이터의 주요 사본을 저장합니다.
-
dc=com
root 항목 -
dc=exampleCom,dc=com
아래의 인트라넷 -
dc=exampleNet,dc=com
아래의 extranet
다음 다이어그램에서는 지역별 유럽의 데이터베이스 토폴로지를 보여줍니다.
그림 8.9. ExampleCom 유럽의 데이터베이스 토폴로지
l=Europe
데이터베이스는 dc=exampleCom,dc=com
및 dc=com
항목의 주요 사본을 저장합니다.
데이터베이스 링크 1
과 데이터베이스 링크 2
는 각 국가에 로컬로 저장된 데이터베이스를 가리킵니다. 예를 들어, 작업 요청에서는 l=USA
분기 아래에 있는 데이터를 수신하도록 작업 요청이 미국 내의 서버의 데이터베이스에 대한 데이터베이스 링크에 의해 연결됩니다. 데이터베이스 링크 및 체인에 대한 자세한 내용은 체인 사용을 참조하십시오.
유럽 서버에는 엑스트라넷에 대한 데이터의 주요 사본이 포함되어 있습니다. 엑스트라넷 데이터는 다음과 같은 세 가지 데이터베이스에 저장됩니다.
-
데이터베이스 1
은o=suppliers
분기의 주요 사본을 저장합니다. -
데이터베이스 2
는o=partners
분기의 주요 사본을 저장합니다. -
데이터베이스 3
은ou=groups
분기의 주요 사본을 저장합니다.
다음 다이어그램은 extranet의 데이터베이스 토폴로지를 보여줍니다.
그림 8.10. ExampleCom International Extranet의 데이터베이스 토폴로지
8.2.4.2. ExampleCom International의 서버 토폴로지
ExampleCom International은 다음과 같은 유형의 서버 토폴로지를 개발합니다.
기업 인트라넷의 토폴로지입니다. ExampleCom은 각 주요 지역에 대해 하나씩 세 개의 데이터 센터 즉 유럽, 미국 및 아시아를 사용하기로 결정했습니다. 각 데이터 센터에는 다음 서버가 포함되어 있습니다.
- 두 개의 공급자 서버.
- 두 개의 허브 서버.
- 소비자 서버 세 개.
- 파트너 엑스트라넷의 토폴로지입니다.
다음 다이어그램에서는 ExampleCom 유럽 데이터 센터의 아키텍처를 보여줍니다.
그림 8.11. ExampleCom Europe의 서버 토폴로지
유럽 데이터 센터에는 ExampleCom 엑스트라넷의 주요 사본이 포함되어 있습니다. 이 데이터는 미국 데이터 센터의 두 개의 소비자 서버와 아시아 데이터 센터의 소비자 서버로 복제됩니다. 전반적으로 ExampleCom은 엑스트라넷을 지원하기 위해 10 대의 서버가 필요합니다.
다음 다이어그램은 유럽 데이터 센터에 있는 ExampleCom 엑스트라넷의 서버 아키텍처를 보여줍니다.
그림 8.12. ExampleCom International extranet의 서버 토폴로지
허브 서버는 데이터를 각 데이터 센터의 두 소비자 서버(유럽, 미국 및 아시아)에 복제합니다.
8.2.5. 다국적 기업의 복제 설계
ExampleCom International에서는 디렉터리에 대한 복제를 설계할 때 다음 사항을 고려합니다.
- 데이터는 로컬로 관리됩니다.
- 네트워크 연결의 품질은 사이트마다 다릅니다.
- 데이터베이스 링크는 원격 서버의 데이터를 연결하는 데 사용됩니다.
- 데이터의 읽기 전용 복사본이 포함된 Hub 서버는 데이터를 소비자 서버에 복제하는 데 사용됩니다.
허브 서버는 메일 서버 또는 웹 서버와 같은 중요한 디렉터리 지원 애플리케이션 근처에 있습니다.
공급자 서버가 쓰기 작업에 집중하도록 하려면 허브 서버만 복제를 수행합니다.
나중에 ExampleCom이 확장되고 더 많은 소비자 서버를 추가해야 하는 경우 추가 소비자는 공급 업체 서버의 성능에 영향을 미치지 않습니다.
Multi-supplier 아키텍처
ExampleCom 인트라넷의 경우 각 지역성은 데이터의 주요 사본을 저장하고 데이터베이스 링크를 사용하여 다른 지역의 데이터에 체인합니다.
데이터의 주요 사본에 대해 각 지역성은 다중 제공 복제 아키텍처를 사용합니다.
다음 다이어그램은 dc=exampleCom,dc=com
및 dc=com
분기를 포함하는 지역 유럽의 다중 공급 업체 아키텍처를 보여줍니다.
그림 8.13. ExampleCom 유럽의 다중 공급 아키텍처
각 지역에는 해당 사이트에 대한 데이터의 주요 사본을 공유하는 두 개의 공급자가 포함되어 있습니다. 각 지역성은 데이터의 주요 복사본에 대한 책임이 있습니다.
다중 공급 아키텍처를 사용하면 데이터 가용성을 보장하고 각 공급업체 서버에서 관리하는 워크로드의 균형을 유지하는 데 도움이 됩니다.
전체 실패 위험을 줄이기 위해 ExampleCom은 각 사이트에서 여러 읽기-쓰기 공급자 디렉터리 서버를 사용합니다.
다음 다이어그램은 유럽의 두 공급자 서버와 미국에서 두 공급자 서버 간의 상호 작용을 보여줍니다.
그림 8.14. ExampleCom 유럽 및 ExampleCom USA의 멀티 공급 업체 아키텍처
ExampleCom USA와 ExampleCom Asia와 ExampleCom Europe과 ExampleCom Asia와 동일한 관계가 있습니다.
8.2.6. 다국적 기업의 보안 설계
ExampleCom International은 새로운 다국적 인트라넷을 지원하기 위해 다음과 같은 액세스 제어를 추가하는 이전 보안 설계를 사용합니다.
- ExampleCom은 각 국가에서보다 제한적인 ACI를 생성하는 인트라넷의 루트와 각 국가의 지부에 일반 ACI를 추가합니다.
ExampleCom은 디렉터리의 ACI 수를 최소화하기 위해 매크로 ACI를 사용하기로 결정합니다.
ExampleCom은 매크로를 사용하여 ACI의 대상 또는 바인딩 규칙 부분에서 DN을 나타냅니다. 디렉터리가 들어오는 LDAP 작업을 가져오면 ACI 매크로가 LDAP 작업이 대상으로 하는 리소스와 일치합니다. 일치 항목이 발생하면 Directory Server에서 매크로를 대상 리소스의 DN 값으로 대체합니다.
매크로 ACI에 대한 자세한 내용은 매크로 액세스 제어 지침 사용을 참조하십시오.
ExampleCom은 다음 액세스 제어를 추가하여 엑스트라넷을 지원합니다.
- ExampleCom은 모든 추가 작업에 대해 인증서 기반 인증을 사용하기로 결정했습니다. 엑스트라넷에 로그인할 때 사용자는 디지털 인증서가 필요합니다. 디렉터리는 인증서를 저장합니다. 따라서 사용자는 디렉터리에 저장된 공개 키를 검색하여 암호화된 이메일을 보낼 수 있습니다.
- ExampleCom은 엑스트라넷에 대한 익명 액세스를 금지하는 ACI를 생성합니다. 이렇게 하면 서비스 거부 공격으로부터 엑스트라넷이 보호됩니다.
- ExampleCom은 예제Com 호스팅 애플리케이션에서만 디렉터리 데이터를 업데이트하려고 합니다. 즉, 엑스트라를 사용하는 파트너 및 공급 업체는 ExampleCom에서 제공하는 툴만 사용할 수 있습니다. 엑스트라넷 사용자를 ExampleCom 선호 툴로 제한함으로써 ExampleCom 관리자는 감사 로그를 사용하여 디렉터리 사용을 추적하고 ExampleCom International 이외의 엑스트라넷 사용자가 도입할 수 있는 문제 유형을 제한할 수 있습니다.