포털에 사용한 인증 방법과 방화벽 외부에서의 포털 접근 허용 여부에 따라 고가용성 ArcGIS Enterprise 구현 방식이 결정됩니다.
다음은 이 항목에서 설명된 모든 시나리오에 해당됩니다.
- 포털 머신(다이어그램의 p1 및 p2)은 고가용성 파일 서버에 배치되어 있는 동일한 디렉터리에 콘텐츠를 저장합니다.
- 호스팅 서버의 GIS Server 머신(s1 및 s2)은 고가용성 파일 서버에 배치되어 있는 서버 디렉터리와 구성 저장소를 공유합니다.
- 프라이머리 머신(ds1)과 스탠바이 머신 (ds2)으로 구성된 고가용성 관계형 데이터 저장소는 호스팅 서버에 등록됩니다. ArcGIS Data Store에는 빌트인 페일오버 메커니즘이 있어 프라이머리 머신이 작동되지 않으면 스탠바이 관계형 데이터 저장소가 프라이머리 데이터 저장소 머신으로 사용됩니다. 데이터 저장소는 등록된 GIS Server 머신의 상태를 확인하므로 어느 한쪽의 GIS Server 머신 URL을 통해 데이터 저장소를 구성할 수 있습니다.
클라이언트와 포털 간의 통신 및 인증 프로토콜 차이가 다음 섹션에 설명되어 있습니다.
포트 80 및 443을 통해 포털에 접근하는 클라이언트인 빌트인 사용자
이 시나리오에서는 포털 인증에 빌트인 사용자가 사용되며 클라이언트와 포털 간의 모든 통신이 방화벽 내에서 이루어집니다.
위의 예에서 클라이언트는 URL이 https://<lb>.<domain>.com/<context>/home/인 로드 밸런서를 통해 포털 웹 사이트에 접근하며 https://<lb>.<domain>.com/<context>/rest을(를) 통해 ArcGIS Server REST 디렉터리에 접근할 수 있습니다. 고가용성 포털(Portal for ArcGIS 머신 p1과 p2)은 GIS Server Administrator Directory URL (https://<lb>.<domain>.com/<context>/admin)을 통해 호스팅 서버(고가용성 ArcGIS Server 사이트)와 통신합니다. 호스팅 서버 사이트의 머신(s1과 s2)은 개인 포털 URL(https://<lb>.<domain>.com/<context>)을 통해 포털과 통신합니다. ArcGIS Server Administrator Directory URL과 개인 포털 URL은 둘 다 로드 밸런서(lb)를 거쳐 가외성을 처리합니다. 어느 한 Portal for ArcGIS 머신이 작동되지 않거나 접근할 수 없으면 로드 밸런서가 나머지 머신으로 트래픽을 보내므로 호스팅 서버에서는 나머지 포털 머신과 계속해서 통신할 수 있습니다. 마찬가지로, 호스팅 서버 머신 중 하나가 작동되지 않거나 접근할 수 없으면 로드 밸런서가 포털에서 나머지 GIS Server 머신으로 트래픽을 보냅니다.
포털에 대한 공용 접근 권한이 있는 빌트인 사용자
이 시나리오에서는 포털 인증에 빌트인 사용자가 사용되며 적어도 몇몇의 클라이언트가 방화벽을 통해 포털에 접근합니다. 방화벽 외부로부터의 관리 접근은 비활성화되어야 합니다.
클라이언트는 방화벽 외부의 로드 밸런서(lb)를 통해 포털 웹 사이트와 ArcGIS Server REST 끝점에 접근합니다. 포털은 방화벽 내부의 두 번째 로드 밸런서(lb2)를 거치는 ArcGIS Server Administrator Directory URL(https://<lb2>.<domain>.com:6443/arcgis, 다이어그램의 초록색 라인)을 통해 호스팅 서버와 통신합니다. 호스팅 서버는 역시 lb2를 거치는 개인 포털 URL(https://<lb2>.<domain>.com:7443/arcgis, 다이어그램의 노란색 라인)을 통해 포털과 통신하므로 통신이 방화벽을 거칠 필요가 없습니다. 한 포털이 작동되지 않아도 lb2가 나머지 포털 머신으로 요청을 보내므로 호스팅 서버에서는 나머지 포털 머신과 계속 통신할 수 있습니다. 마찬가지로, GIS Server 머신 중 하나가 작동되지 않으면 lb2가 포털에서 나머지 GIS Server 머신으로 트래픽을 보냅니다.
방화벽 외부의 클라이언트에서 GIS Server 사이트로 직접 접근하는 경우에도 방화벽 외부의 로드 밸런서(lb)를 거치게 됩니다.
ArcGIS Server Administrator Directory 및 ArcGIS Server Manager에 대한 관리자의 접근은 방화벽 외부의 로드 밸런서(lb)에 대한 규칙을 설정하여 차단할 수 있습니다.
내부 접근 클라이언트에 대한 IWA 또는 LDAP 인증
이 시나리오에서는 포털 사용자가 IWA(Windows 통합 인증) 또는 LDAP(Lightweight Directory Access Protocol)를 사용하여 인증하며 포털에 대한 모든 클라이언트 접근이 방화벽 내부에서 이루어집니다.
포털에 대한 공용 접근은 필요하지 않지만 클라이언트가 IWA 또는 LDAP 인증을 사용하여 포털에 인증하는 경우, 고가용성 포털의 각 머신에는 Web Adaptor(wa1, wa2)가 있어야 합니다. 로드 밸런서(lb)가 트래픽을 Web Adaptor로 보낸 다음 두 포털 머신(p1, p2) 간의 요청을 밸런싱합니다. 호스팅 서버에서 포털로의 모든 통신은 Web Adaptor를 통해 웹 티어에서의 인증 질문을 건너뛰어야 합니다. 따라서 로드 밸런서는 포트 7080 및 7443에서 수신하도록 구성되며 해당 트래픽은 개인 포털 URL을 통해 포트 7080 또는 7443에서 포털에 직접 보내집니다.
포털에 대한 공용 접근이 필요하지 않으므로 로드 밸런서를 공용 URL과 내부의 관리자 URL에 모두 사용할 수 있습니다. 개인 포털 URL은 https://<lb>.<domain>.com:7443/arcgis입니다. 나머지 모든 URL은 https://<lb>.<domain>.com/<context>입니다.
포털 공용 접근에 대한 SAML 또는 ADFS 인증
이 시나리오에서는 포털 사용자가 SAML(Security Assertion Markup Language) 또는 ADFS(Active Directory Federation Services)를 사용하여 인증하지만 포털에 대한 일부 클라이언트 접근이 방화벽 외부에서 이루어집니다. 이 경우 호스팅 서버의 GIS Server 머신에 대한 관리자 접근을 비활성화하여 서비스를 보호해야 합니다. 다음 섹션에서는 이 작업을 완료하는 두 가지 구성을 설명합니다.
비고:
포털에 SAML 또는 ADFS 인증을 사용하면 포털에서 Web Adaptor를 구성하지 않아도 됩니다. 다음 두 가지 시나리오의 경우 포털에서 ArcGIS Web Adaptor를 사용할 수 있지만 구성에 추가되는 기능적 이점은 없습니다.
로드 밸런서에 설정된 규칙을 사용하여 공용 접근 포털 보호
이 시나리오에서는 클라이언트가 방화벽(다이어그램의 빨간색 라인) 외부의 로드 밸런서(lb)를 통해 연결되는데, 이 로드 밸런서는 두 포털 머신(p1, p2)의 포트 7443 및 7080과 두 GIS Server 머신(s1, s2)의 포트 6443 및 6080에 트래픽을 직접 보냅니다. 로드 밸런서 내의 규칙에 따라 ArcGIS Server Administrator Directory URL 및 ArcGIS Portal 디렉터리에 대한 접근이 차단됩니다.
방화벽 외부에 있는 로드 밸런서는 포트 6080, 6443, 7080 또는 7443을 통해 통신할 수 없습니다. 따라서 방화벽 내부에 다른 로드 밸런서(lb2)를 구성하여 포털과 호스팅 서버 간의 통신을 처리합니다. 포트는 페더레이션 시 관리 URL로 정의된 URL(다이어그램의 초록색 라인)을 사용하여 호스팅 서버와 통신하며 호스팅 서버는 개인 포털 URL(다이어그램의 노란색 라인)을 통해 포털과 통신하므로 방화벽을 거칠 필요가 없습니다. Lb2를 통해 GIS Server 머신 중 하나 또는 포털 머신 중 하나가 작동되지 않는 경우의 가외성이 보장됩니다.
이 시나리오에서 개인 포털 URL은 https://<lb2>.<domain>.com:7443/arcgis이며 ArcGIS Server Administrator Directory URL은 https://<lb2>.<domain>.com:6443/arcgis/admin입니다.
GIS Server 사이트의 Web Adaptor를 사용하여 공용 접근 포털 보호
이 시나리오에서는 클라이언트가 방화벽(다이어그램의 빨간색 라인) 외부의 로드 밸런서(lb1)를 통해 연결되는데, 이 로드 밸런서는 두 포털 머신(p1, p2)의 포트 7443 및 7080과 두 웹 어댑터(wa1, wa2)에 트래픽을 직접 보내며 이러한 웹 어댑터는 GIS Server 머신(s1, s2)에 구성되어 있습니다. 다른 로드 밸런서(lb2)가 포털과 해당 호스팅 서버 간의 트래픽을 처리하며 GIS Server 머신 중 하나 또는 포털 머신 중 하나가 작동되지 않는 경우의 가외성을 제공합니다.
클라이언트는 로드 밸런서(lb1) https://<lb1>.<domain>.com/<context>/home/을(를) 통해 포털에 접근하는데, 이 로드 밸런서에서는 포트 7080과 포트 7443을 통해 두 포털 머신에 트래픽을 보냅니다. 포털이 SAML 또는 ADFS 인증으로 구성되었으므로 SAML 또는 ADFS 공급자가 포털에 접근하는 사용자를 인증합니다.
클라이언트는 방화벽 외부의 로드 밸런서(lb1)를 통해 GIS Server 사이트에 접근하는데 이 로드 밸런서에서는 트래픽을 GIS Server Web Adaptor(wa1, wa2)로 보냅니다. Web Adaptor는 포트 6080과 6443을 통해 트래픽을 GIS Server로 전달합니다.
GIS Server 사이트는 개인 포털 URL(https://<lb2>.<domain>.com:7443/arcgis, 다이어그램의 노란색 라인)을 통해 포털과 통신하므로 통신이 방화벽을 거칠 필요가 없습니다. GIS Server 사이트는 서비스 lb의 URL을 사용하여 포털에 페더레이션됩니다. 이 트래픽은 Web Adaptor wa1과 Web Adaptor wa2를 거치며, 이 어댑터는 ArcGIS Server Manager 및 ArcGIS Server Administrator Directory에 대한 관리자 접근을 차단하도록 구성됩니다. 두 번째 로드 밸런서(lb2)는 ArcGIS Server Administrator Directory 접근( https://<lb2>.<domain>.com:6443/arcgis)에 사용되어 가외성(다이어그램의 초록색 라인)을 제공합니다.