기관에 사용한 인증 방법과 방화벽 외부에서의 기관 접근 허용 여부에 따라 고가용성 ArcGIS Enterprise 배포 구현 방식이 결정됩니다.
다음은 이 항목에서 설명된 모든 시나리오에 해당됩니다.
- 포털 머신(Portal1 및 Portal2)은 고가용성 파일 서버에 배치되어 있는 동일한 디렉터리에 콘텐츠를 저장합니다.
- 호스팅 서버 사이트의 GIS Server 머신(HostingServer1 및 HostingServer2)은 고가용성 파일 서버에 배치되어 있는 공통 서버 디렉터리와 구성 저장소를 공유합니다.
- 고가용성 관계형 데이터 저장소는 호스팅 서버 사이트에 등록된 프라이머리 머신(DataStore1)과 스탠바이 머신(DataStore2)으로 구성됩니다. ArcGIS Data Store에는 빌트인 페일오버 메커니즘이 있어 프라이머리 머신이 작동되지 않으면 스탠바이 관계형 데이터 저장소가 프라이머리 데이터 저장소 머신으로 사용됩니다. 데이터 저장소는 등록된 ArcGIS Server 머신의 상태를 확인하므로 어느 한쪽의 ArcGIS Server 머신 URL을 통해 데이터 저장소를 구성할 수 있습니다.
- HTTPS 및 HTTP는 Portal for ArcGIS 및 ArcGIS Server 모두에 대해 활성화됩니다. HTTP가 모든 컴포넌트에 대해 비활성화된 경우 HTTP 포트(80, 6080, 7080)를 예시에서 제거할 수 있습니다. 관리 URL에는 HTTPS 통신이 필요합니다.
- 로드 밸런서가 포함된 아키텍처의 경우 라운드 로빈 알고리즘을 사용하여 백엔드 대상의 가용성을 결정하고 트래픽의 균형을 조정하도록 상태 확인이 구성되었습니다. 예시 호스트 loadbalancer.example.com 및 internalloadbalancer.example.com가 다이어그램에서 사용되지만, 내부 또는 외부 DNS 서버를 통해 컴포넌트에 할당된 DNS 별칭으로 대체될 수 있습니다.
클라이언트와 포털 간의 통신 및 인증 프로토콜 차이가 다음 섹션에 설명되어 있습니다. 고가용성 배포에 사용되는 URL에 대한 자세한 내용은 ArcGIS Enterprise의 고가용성에서 확인할 수 있습니다.
80 및 443 포트를 통해 포털에 접근하는 빌트인 사용자 및 클라이언트
이 시나리오에서는 포털 인증에 빌트인 사용자가 사용되며 클라이언트와 포털 간의 모든 통신이 방화벽 내에서 이루어집니다.
이 예시에서 클라이언트는 기관 URL(이 경우 https://loadbalancer.example.com/portal/home/)을 통해 로드 밸런서로 기관에 접근하고 https://loadbalancer.example.com/server/rest/services를 통해 ArcGIS Server 사이트의 REST 디렉터리에 연결할 수 있습니다. 고가용성 포털(2개의 Portal for ArcGIS 머신, Portal1 및 Portal2)은 페더레이션 중에 정의된 관리 URL(https://loadbalancer.example.com/server/admin)을 통해 고가용성 호스팅 서버 사이트와 통신합니다. 호스팅 서버 사이트(HostingServer1 및 HostingServer2)의 머신은 포털의 시스템 등록정보에 정의된 privatePortalURL을 사용하여 클라이언트(https://loadbalancer.example.com/portal)와 동일한 엔드포인트를 통해 포털과 통신합니다. ArcGIS Server 관리자 디렉터리 URL과 privatePortalURL은 둘 다 로드 밸런서(LoadBalancer)를 거쳐 중복성을 처리합니다. 어느 한 Portal for ArcGIS 머신이 작동되지 않거나 접근할 수 없으면 로드 밸런서가 해당 머신으로 트래픽을 보내므로 호스팅 서버에서는 나머지 머신과 계속해서 통신할 수 있습니다. 마찬가지로, 호스팅 서버 머신 중 하나가 작동되지 않거나 접근할 수 없으면 로드 밸런서가 Portal for ArcGIS 머신에서 나머지 ArcGIS Server 머신으로 트래픽을 계속 보냅니다.
포털에 대한 공용 접근 권한이 있는 빌트인 사용자
이 시나리오에서는 포털 인증에 빌트인 사용자가 사용되며 적어도 몇몇의 클라이언트가 방화벽 외부에서 포털에 접근합니다. 방화벽 외부로부터의 관리 접근은 비활성화되어야 합니다.
클라이언트는 일반적으로 loadbalancer.example.com에 할당된 DNS 별칭을 통해 방화벽 외부의 로드 밸런서(LoadBalancer)를 통해 기관 및 ArcGIS Server REST 엔드포인트에 접근합니다. 포털은 방화벽 내부의 두 번째 로드 밸런서(InternalLoadBalancer)(https://internalloadbalancer.example.com:6443/arcgis, 다이어그램의 초록색 라인)를 통해 호스팅 서버 사이트와 통신합니다. 호스팅 서버는 역시 InternalLoadBalancer를 거치는 privateportalURL(https://internalloadbalancer.example.com:7443/arcgis, 다이어그램의 주황색 라인)을 통해 포털과 통신하므로 통신이 방화벽을 거칠 필요가 없습니다. 한 포털이 작동되지 않아도 내부 로드 밸런서가 나머지 포털 머신으로 요청을 보내므로 호스팅 서버에서는 나머지 포털 머신과 계속 통신할 수 있습니다. 마찬가지로, GIS Server 머신 중 하나가 작동되지 않으면 내부 로드 밸런서가 포털에서 나머지 GIS Server 머신으로 트래픽을 보냅니다.
방화벽 외부의 클라이언트에서 GIS Server 사이트로 직접 접근하는 경우에도 방화벽 외부의 로드 밸런서(LoadBalancer)(다이어그램의 빨간색 라인)를 거치게 됩니다.
ArcGIS Server 관리자 디렉터리 및 ArcGIS Server Manager에 대한 관리자 접근은 방화벽 외부의 로드 밸런서(LoadBalancer)(다이어그램의 빨간색 라인)에 대한 규칙을 설정하여 차단할 수 있습니다.
내부 접근 클라이언트에 대한 IWA 또는 LDAP 인증
이 시나리오에서는 포털 사용자가 통합 Windows 인증(IWA) 또는 LDAP(Lightweight Directory Access Protocol)를 사용하여 인증하며 포털에 대한 모든 클라이언트 접근이 방화벽 내부에서 이루어집니다.
포털에 대한 공용 접근은 필요하지 않지만 클라이언트가 IWA 또는 LDAP 인증을 사용하여 포털에 인증하는 경우, 고가용성 포털의 각 머신에는 Web Adaptor(WebAdaptor1, WebAdaptor2)가 있어야 합니다. 로드 밸런서(LoadBalancer)가 트래픽을 Web Adaptor로 보낸 다음 두 포털 머신(Portal1, Portal2) 간의 요청을 밸런싱합니다. ArcGIS Server 머신에서 Portal for ArcGIS 머신으로의 모든 통신은 Web Adaptor를 통해 웹 계층에서의 인증 질문을 건너뛰어야 합니다. 따라서 로드 밸런서는 7080 및 7443 포트에서 수신하도록 구성되며 해당 트래픽은 privatePortalURL을 통해 7080 또는 7443 포트에서 포털에 직접 보내집니다.
포털에 대한 공용 접근이 필요하지 않으므로 로드 밸런서를 호스팅 사이트의 서비스 URL과 관리 URL 모두에 사용할 수 있습니다. privatePortalURL은 https://internalloadbalancer.example.com:7443/arcgis이며 호스팅 사이트 머신은 해당 URL(다이어그램의 주황색 라인)을 통해 포털 머신과 통신합니다. 기관 URL은 https://loadbalancer.example.com/portal이며 호스팅 사이트의 서비스 및 관리 URL은 모두 https://loadbalancer.example.com/server입니다.
포털 공용 접근에 대한 SAML 또는 ADFS 인증
이 시나리오에서는 사용자가 SAML(Security Assertion Markup Language) 또는 ADFS(Active Directory Federation Services)를 사용하여 인증하지만 기관에 대한 일부 클라이언트 접근이 방화벽 외부에서 이루어집니다. 이 경우 보안을 위해 호스팅 서버 사이트의 ArcGIS Server 머신에 대한 관리 접근을 비활성화해야 합니다. 아래 섹션에서는 이 작업을 완료하는 두 가지 구성을 설명합니다.
비고:
포털에 SAML 또는 ADFS 인증을 사용하면 포털에서 Web Adaptor를 구성하지 않아도 됩니다. 다음 두 가지 시나리오의 경우 포털에서 ArcGIS Web Adaptor를 사용할 수 있지만 구성에 추가되는 기능적 이점은 없습니다.
로드 밸런서에 설정된 규칙을 사용하여 공용 접근 포털 보호
이 시나리오에서는 클라이언트가 방화벽(다이어그램의 빨간색 라인) 외부의 로드 밸런서(LoadBalancer)를 통해 연결되는데, 이 로드 밸런서는 두 포털 머신(Portal1, Portal2)의 7443 및 7080 포트와 두 GIS Server 머신(HostingServer1, HostingServer2)의 6443 및 6080 포트에 트래픽을 직접 보냅니다. 로드 밸런서의 규칙에 따라 ArcGIS Server 관리자 및 ArcGIS Server Manager URL에 대한 접근이 차단됩니다.
방화벽 외부에 있는 로드 밸런서는 포트 6080, 6443, 7080 또는 7443을 통해 통신할 수 없습니다. 방화벽 내부에 다른 로드 밸런서(InternalLoadBalancer)를 구성하여 포털과 호스팅 서버 간의 통신을 활성화합니다. 포털은 페더레이션 시 관리 URL로 정의된 URL(다이어그램의 초록색 라인)을 사용하여 호스팅 서버와 통신하며 호스팅 서버는 privatePortalURL(다이어그램의 주황색 라인)을 통해 포털과 통신하므로 방화벽을 거칠 필요가 없습니다. 내부 로드 밸런서를 통해 GIS Server 머신 또는 포털 머신 중 하나가 작동되지 않는 경우의 중복성이 보장됩니다.
이 시나리오에서 privatePortalURL은 https://internalloadbalancer.example.com:7443/arcgis입니다. 페더레이션 중에 사용되는 ArcGIS Server 사이트 관리 URL은 https://internalloadbalancer.example.com:6443/arcgis입니다.
GIS Server 사이트의 Web Adaptor를 사용하여 공용 접근 포털 보호
이 시나리오에서는 클라이언트가 방화벽(다이어그램의 빨간색 라인) 외부의 로드 밸런서(LoadBalancer)를 통해 연결되는데, 이 로드 밸런서는 두 포털 머신(Portal1, Portal2)의 7443 및 7080 포트와 두 웹 어댑터(WebAdaptor1, WebAdaptor2)에 트래픽을 직접 보내며 이러한 웹 어댑터는 ArcGIS Server 머신(HostingServer1, HostingServer2)에 구성되어 있습니다. 다른 로드 밸런서(InternalLoadBalancer)가 포털 머신 및 해당 호스팅 서버 사이트 간의 트래픽을 관리하며 GIS Server 머신 또는 포털 머신 중 하나가 작동되지 않는 경우의 중복성을 보장합니다.
클라이언트는 로드 밸런서(LoadBalancer) https://loadbalancer.example.com/portal/home/를 통해 포털에 접근하는데, 이 로드 밸런서에서는 7080 포트와 7443 포트를 통해 두 포털 머신에 트래픽을 보냅니다. 포털이 SAML 또는 ADFS 인증으로 구성되었으므로 SAML 또는 ADFS 공급자가 포털에 접근하는 사용자를 인증합니다.
클라이언트는 방화벽 외부의 로드 밸런서(LoadBalancer)를 통해 호스팅 서버 사이트에 접근할 수 있으며, 이 로드 밸런서에서는 트래픽을 GIS Server Web Adaptor(WebAdaptor1, WebAdaptor2)로 보냅니다. Web Adaptor는 6080 및 6443 포트를 통해 트래픽을 GIS Server 머신으로 전달합니다.
ArcGIS Server 머신은 privatePortalURL(https://internalloadbalancer.example.com:7443/arcgis, 다이어그램의 주황색 라인)을 통해 포털과 통신하므로 통신이 방화벽을 거칠 필요가 없습니다. 호스팅 서버 사이트는 서비스 https://loadbalancer.example.com/server의 URL을 사용하여 포털에 페더레이션됩니다. 이 트래픽은 Web Adaptor WebAdaptor1과 Web Adaptor WebAdaptor2를 거치며, 이 어댑터는 ArcGIS Server Manager 및 ArcGIS Server 관리자 디렉터리에 대한 관리자 접근을 차단하도록 구성됩니다. 두 번째 로드 밸런서(InternalLoadBalancer)는 중복성을 제공하기 위해 페더레이션 중에 정의된 관리 URL(https://internalloadbalancer.example.com:6443/arcgis, 다이어그램의 초록색 라인)에 사용됩니다.