Condividi tramite

Architettura di esempio: BizTalk Server di base

  • Articolo

In questo argomento viene illustrata l'architettura di esempio di base. Vengono descritti i componenti indipendenti dagli adapter in una distribuzione di BizTalk Server, che costituiscono un requisito minimo per ogni distribuzione di BizTalk Server.

Nella figura seguente sono illustrati i componenti dell'architettura di esempio di base di BizTalk Server. Questi componenti sono inclusi in tutte le architetture di BizTalk Server specifiche degli adapter illustrate nelle sezioni successive.

Figura 1 Componenti dell'architettura di base

Componenti dell'architettura di base

Questa architettura di esempio contiene gli elementi illustrati nelle sezioni seguenti.

Rete perimetrale - Internet

  • Questa rete perimetrale contiene i server che forniscono i servizi correlati a Internet. In questo dominio non esistono server BizTalk Server, indirizzi di ricezione BizTalk o server Enterprise Single Sign-On.

Rete perimetrale - Intranet

Questa rete perimetrale contiene i server che forniscono i servizi relativi alla rete Intranet. Offre un livello di sicurezza aggiuntivo tra la rete Intranet, ad esempio una rete aziendale, e i server che eseguono l'applicazione. Analogamente alla rete perimetrale Internet, la rete perimetrale Intranet non contiene server BizTalk Server, indirizzi di ricezione BizTalk o server Enterprise Single Sign-On.

Dominio e-business

Questo dominio contiene l'infrastruttura e le applicazioni utilizzate dall'implementazione di BizTalk Server. I server di questo dominio sono i seguenti:

  • di BizTalk Server. Questo server include un'installazione del runtime di BizTalk Server e istanze di vari host BizTalk. Il numero di server BizTalk Server nell'ambiente dipende dal tipo di host che eseguono e dalle esigenze a livello di prestazioni. Man mano che si richiedono prestazioni più elevate, è possibile aggiungere ulteriori server BizTalk Server all'ambiente per le istanze degli host di elaborazione.

  • Server master secret. È il server master secret Enterprise Single Sign-On (SSO). Contiene il master secret, ovvero la chiave di crittografia utilizzata dal sistema SSO per crittografare i dati del database SSO.

  • SQL Server. Questo server contiene i database BizTalk.

    Importante

    Per garantire la protezione con failover, è consigliabile inserire in cluster ogni database BizTalk. Per altre informazioni sul clustering di failover di Microsoft SQL Server, vedere il sito Web Microsoft MSDN all'indirizzo https://go.microsoft.com/fwlink/?LinkID=190216.

    Nota

    In base alle esigenze a livello di prestazioni, potrebbe essere necessario separare i database BizTalk in più computer che eseguono SQL Server.

  • Controller di dominio. Questo server ospita il dominio e-business di Active Directory. Contiene informazioni su tutti i gruppi e i singoli account che devono accedere a BizTalk Server.

  • Strumenti di amministrazione. Uno dei server in questo dominio ospita gli strumenti di amministrazione, ovvero la Console di amministrazione BizTalk e l'utilità di amministrazione Enterprise Single Sign-On (SSO).

Firewall e domini

Nella figura 1, il server Forefront Threat Management Gateway (TMG) 2010 funge da firewall software per contribuire a proteggere e contenere ciascuno di questi domini. Il dominio e-business dispone inoltre del proprio controller di dominio e non considera attendibile nessun altro dominio. Per altre informazioni su come configurare un firewall per domini e trust, vedere il sito Web della Guida e del supporto tecnico Microsoft all'indirizzo https://go.microsoft.com/fwlink/?LinkId=25230.

Nell'architettura di esempio sono inclusi due firewall:

  • Firewall 1. Questo firewall dispone di tre interfacce di rete: instrada il traffico proveniente da Internet, la rete Intranet e le reti perimetrali.

  • Firewall 2. Questo firewall è dual-homed, ovvero instrada il traffico proveniente dalle reti perimetrali (Internet e Intranet) e dal dominio e-business.

    I computer nelle reti perimetrali non sono membri di alcun dominio e non comunicano l'uno con l'altro.

IPsec

È consigliabile utilizzare IPSec (Internet Protocol security) per proteggere le comunicazioni tra tutti i server del dominio e-business. Di seguito sono elencate le regole IPsec:

  • Consenti traffico autenticato tra il server BizTalk Server e il controller di dominio.

  • Consenti traffico autenticato tra il server BizTalk Server e il server degli strumenti di amministrazione.

  • Consenti traffico autenticato tra il server BizTalk Server e il server master secret.

  • Consenti traffico autenticato tra il server BizTalk Server e il server SQL Server.

  • Consenti traffico autenticato tra il server master secret e il controller di dominio.

  • Consenti traffico autenticato tra il server master secret e il server BizTalk Server (host di tipo Isolato, di elaborazione, di tipo In-Process e di rilevamento).

  • Consenti traffico autenticato tra il server master secret e il server SQL Server (database SSO).

  • Consenti traffico autenticato tra il controller di dominio e tutti i server del dominio.

  • Consenti traffico autenticato tra il server degli strumenti di amministrazione e tutti i server del dominio.

    Se nel dominio sono presenti altre applicazioni che non necessitano dell'accesso al server BizTalk Server, SQL Server, master secret o degli strumenti di amministrazione, bloccare il traffico tra queste applicazioni e i server appropriati.

Vedere anche

Pianificazione diarchitetture di esempio di sicurezza per scenari di esempio di piccole & Medium-Sized aziendeper l'analisi del modello di minaccia