Arquitectura distribuida grande
Para obtener información completa sobre la arquitectura del sistema para la implementación de BizTalk Server, consulte Arquitecturas de BizTalk Server de ejemplo.
La arquitectura que se presenta en esta sección ha sido concebida para un entorno de producción. No incluye un entorno de desarrollo o de pruebas ni recomendaciones para una red de administración del entorno. Para obtener más información sobre el almacenamiento provisional de la configuración de un entorno de desarrollo en un entorno de prueba y de una prueba a un entorno de producción, consulte Implementación de aplicaciones de BizTalk.
En la ilustración siguiente se muestra una arquitectura de BizTalk Server altamente distribuida que tiene en cuenta la defensa en profundidad.
Arquitectura segura de BizTalk Server distribuida
Esta arquitectura contiene los cinco dominios siguientes:
Red perimetral. La red perimetral (también denominada DMZ, zona desmilitarizada y subred protegida) contiene servidores que proporcionan servicios relacionados con Internet a una empresa. Este dominio puede contener servidores en los que se encuentran las ubicaciones físicas en las que los transportes que se comunican con Internet envían mensajes al servidor BizTalk Server y los reciben de éste. En este dominio no hay servidores de BizTalk, ubicaciones de recepción de BizTalk ni servidores de inicio de sesión único empresarial. Si se usa el adaptador de HTTP o SOAP, se pueden emplear reglas de proxy inversas (la implementación del servidor Forefront Threat Management Gateway (TMG) 2010 se denomina Publicación en Web) para retransmitir el mensaje del firewall conectado a Internet (FW4) al firewall que protege el dominio de interfaces de servicio (FW3). Para obtener más información sobre las reglas de publicación web, vea el sitio web de Microsoft en https://go.microsoft.com/fwlink/?LinkID=205340 (https://go.microsoft.com/fwlink/?LinkID=205340).
En la ilustración anterior, los servidores de la red perimetral representan servidores que se encuentran en un dominio externo al entorno de BizTalk Server. Por consiguiente, es posible que algunos de estos servidores se encuentren en ubicaciones remotas. Por ejemplo, el servidor del Protocolo de transferencia de archivos (FTP) podría estar en una ubicación remota; El servidor del Protocolo de transferencia de correo simple (SMTP) podría ser el servidor de correo electrónico corporativo, un servidor de proveedor de servicios de Internet (ISP) o un servidor SMTP remoto.
Dominio de interfaces de servicio. Este es el domino en el que se inicia el procesamiento del mensaje. Este dominio contiene los servidores que tienen los controladores de envío y recepción de BizTalk. Aquí se encuentran los puertos de BizTalk Server, las ubicaciones de recepción, las canalizaciones, las asignaciones, los esquemas y los ensamblados para recibir, en rutar y enviar mensajes. El número de servidores de BizTalk de este dominio depende del número de hosts e instancias de host que requieren las necesidades de rendimiento de la organización.
Dominio de servicios. Este dominio contiene los servicios en los que confían los servidores del dominio de procesamiento y que necesitan procesar los mensajes correctamente pero requieren una capa de defensa adicional para protegerse de los ataques procedentes de la red perimetral, como por ejemplo los servidores de procesamiento que tienen las orquestaciones de BizTalk, las canalizaciones, servicios de inicio de sesión único (SSO) empresarial, el motor de reglas de negocios y otros procesos empresariales.
Este dominio contiene además los servicios a los que debe tener acceso el domino corporativo pero que siguen necesitando protección contra amenazas externas. Uno de los servidores de este dominio hospeda las herramientas de administración: Consola de administración de BizTalk y la utilidad de administración enterprise Single Sign-On (SSO). Asimismo, este dominio contiene el servidor secreto principal de SSO, en el que se encuentra la clave secreta principal (clave de cifrado) que utiliza el sistema SSO para cifrar y descifrar los datos de la base de datos de SSO. Uno de los servidores de este dominio tiene una instancia de un host que admite el seguimiento de la información empresarial y de supervisión de estado.
Nota
En los sistemas de inicio de sesión único (SSO) empresarial, puede que algunos de los servidores de procesamiento solo contengan el servicio de SSO sin componentes de BizTalk Server. Para más información, consulte Alta disponibilidad para el inicio de sesión único empresarial.
Dominio de datos. El dominio de datos es el que está más alejado de Internet, ya que contiene las bases de datos de SQL Server en las que se almacenan los datos empresariales y de los procesos más importantes, y no confía en ningún otro dominio. Aunque puede tener cada base de datos BizTalk Server en un servidor diferente que ejecute SQL Server, se recomienda combinar bases de datos basadas en el tipo principal de procesamiento que realizan (principalmente operaciones de lectura, principalmente operaciones de escritura o ambas):
Un servidor SQL Server para cada base de datos de cuadro de mensajes. Puede agregar más bases de datos de cuadro de mensajes para equilibrar la carga. Estas bases de datos son de lectura o escritura intensiva.
Un servidor SQL Server para la base de datos de SSO. BizTalk Server realiza principalmente operaciones de lectura en esta base de datos. Esta base de datos contiene datos confidenciales y necesita los permisos de acceso más restrictivos.
Una SQL Server para la administración de BizTalk y las bases de datos del motor de reglas de negocio. BizTalk Server realiza principalmente operaciones de lectura en estas bases de datos. Este servidor contiene también la base de datos de seguimiento, que es de escritura intensiva.
Un servidor SQL Server para la base de datos de seguimiento de servidor de análisis.
Un servidor SQL Server para la base de datos de Microsoft Operations Manager (MOM).
Un servidor SQL Server para el sistema de destino de trasvase de registros.
Importante
Para la protección de conmutación por error, se recomienda agrupar cada base de datos de BizTalk. Para obtener más información sobre SQL Server clústeres de conmutación por error, vea el sitio web de Microsoft MSDN en https://go.microsoft.com/fwlink/?LinkId=131016.
Nota
Para obtener más información sobre el sistema de destino para el trasvase de registros, consulte Copia de seguridad y restauración de las bases de datos de BizTalk Server.
En la ilustración anterior, el servidor Forefront Threat Management Gateway (TMG) 2010 actúa como firewall de software para proteger y contener cada uno de estos dominios. Además, cada dominio tiene su propio controlador de dominio; la confianza se establece desde el dominio que contiene los servidores esenciales (el dominio de datos) hacia los servidores que se comunican con el exterior (dominio corporativo y red perimetral), y los servidores sólo tienen acceso a los servicios de los demás dominios con los que necesitan conectarse. Hay un firewall que restringe el tráfico dirigido al dominio de datos procedente de los dominios de servicios y de interfaces de servicio (FW1). De un modo parecido, hay un firewall (FW2) que restringe el tráfico dirigido al dominio de servicios procedente de los dominios de interfaces de servicio y operaciones.
Dominio corporativo. Este es el dominio de intranet y contiene todos los equipos de escritorio de la compañía o departamento, y todos los servidores que ofrecen servicios a los trabajadores de información dentro de la organización. Dentro de este dominio, hay dos contenedores lógicos distintos:
Servicios de intranet. En este contenedor se encuentran los servidores que reciben y envían mensajes de socios internos para los adaptadores SQL y de archivo. Aunque esto es una intranet, se diferencia de una red corporativa en que en ésta la mayoría de los usuarios tienen cuentas y servicios. De un modo parecido a la red perimetral que aparece en la ilustración, algunos de los servidores de este contenedor pueden encontrarse en una ubicación diferente. Por ejemplo, la ubicación (carpeta) de envío y recepción del adaptador de archivo puede ubicarse en cualquier capa exterior al dominio de interfaces de servicio, mientras que el servidor que ejecuta SQL Server para el adaptador SQL puede ubicarse en el domino de interfaces de servicio.
Operaciones. Este contenedor tiene clientes de servicios de Terminal Server que los profesionales de TI utilizan para supervisar, mantener y administrar de modo remoto el rendimiento y el estado de todos los servidores del entorno. Con los servicios de Terminal Server, los profesionales de TI pueden conectarse al servidor de administración del dominio de servicios y realizar desde éste las tareas administrativas de todos los servidores del entorno.
Aunque pueda haber equipos de desarrollo dentro del dominio corporativo, la configuración de dichos equipos excede el contenido de este documento.
Para obtener más información sobre la arquitectura de BizTalk Server, incluidos los servicios de trabajo de información, vea Arquitectura distribuida grande con Information Worker Services.
La confianza entre los dominios funciona del siguiente modo:
El dominio de datos no confía en ningún otro dominio.
El dominio de interfaces de servicio confía en el dominio de datos.
El dominio de servicios confía en el dominio de datos.
El dominio corporativo confía en los dominios de servicios.
Para obtener más información sobre cómo configurar un firewall para dominios y confianzas, vea el sitio web ayuda y soporte técnico de Microsoft en https://go.microsoft.com/fwlink/?LinkId=25230.
Aunque la ilustración anterior se centra en la seguridad, también puede ampliar la arquitectura con Equilibrio de carga de red (NLB) y Servicios de Cluster Server para disponer de mayor disponibilidad y rendimiento.
Para obtener más información sobre la alta disponibilidad, consulte Planning for High Availability.
Para obtener más información sobre el rendimiento, consulte Planning for Sustained Performance.
La siguiente tabla resume el tipo de servidores que se pueden configurar con Equilibrio de carga de red (NLB) según el contrato de nivel de servicios (SLA) que necesita obtener:
Nombre | Tipo | Dominio |
---|---|---|
HTTP (Rec) | Internet Information Services | Red perimetral |
Controlador de recepción (aislado) | Internet Information Services | Dominio de interfaces de servicio |
Portal BAM | Internet Information Services | Dominio de interfaces de servicio |
La siguiente tabla resume el tipo de servidores que se pueden agrupar según el contrato de nivel de servicios (SLA) que necesita obtener:
Nombre | Tipo | Dominio |
---|---|---|
Exchange (envío) | Exchange Server | Red perimetral |
Controlador de recepción (host en curso) para adaptadores de FTP y POP3 | BizTalk Server | Dominio de interfaces de servicio Dominio corporativo |
Servidor secreto principal | BizTalk Server | Dominio de servicios |
Todos los servidores SQL Server | SQL Server | Data Domain |
Para obtener más información sobre la arquitectura de BizTalk Server, incluidos los servicios de trabajo de información, vea Arquitectura distribuida grande con Information Worker Services.
Consulte también
Arquitecturas de BizTalk Server de ejemplo escaladasverticalmente