익스트라넷 팜 토폴로지 디자인(Office SharePoint Server)
업데이트 날짜: 2009년 4월
적용 대상: Office SharePoint Server 2007
마지막으로 수정된 항목: 2015-03-09
이 문서의 내용
익스트라넷 환경 정보
익스트라넷 환경 계획
경계면 방화벽 토폴로지
연속 경계 토폴로지
콘텐츠 게시 기능이 있는 연속 경계 토폴로지
정적 콘텐츠 호스팅에 대해 최적화된 연속 경계 토폴로지
분할 연속 토폴로지
이 문서는 SharePoint 제품 및 기술의 익스트라넷 토폴로지 (영문)(https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x412) 모델과 함께 사용할 수 있습니다.
익스트라넷 환경 정보
익스트라넷 환경은 조직의 정보 또는 프로세스의 일부를 원격 직원, 외부 파트너 또는 고객과 공유할 수 있도록 안전하게 확장된 개인 네트워크입니다. 익스트라넷을 사용하면 다음과 같이 Microsoft Office SharePoint Server 2007에서 호스팅하는 모든 형식의 콘텐츠를 공유할 수 있습니다.
브랜드 정보 콘텐츠
사용자 계정에 따라 개인 설정된 콘텐츠
공동 작업 콘텐츠(예: 문서, 목록, 라이브러리, 달력, 블로그 및 위키)
문서 저장소
다음 표에서는 익스트라넷이 각 그룹에 제공하는 이점에 대해 설명합니다.
원격 직원 |
원격 직원은 언제 어디에서나 VPN(가상 사설망) 없이도 회사 정보 및 전자 리소스에 액세스할 수 있습니다. 원격 직원은 다음과 같은 직원입니다.
|
외부 파트너 |
외부 파트너가 비즈니스 프로세스에 참가하고 사용자 조직의 직원과 함께 작업할 수 있습니다. 익스트라넷을 사용하여 다음과 같은 방법으로 데이터의 보안을 강화할 수 있습니다.
파트너 공동 작업을 위해 다음과 같은 방법으로 프로세스와 사이트를 최적화할 수 있습니다.
|
고객 |
브랜드딩된 대상 콘텐츠를 다음과 같은 방법으로 파트너와 고객에게 게시합니다.
|
Office SharePoint Server 2007에서는 사이트에 대한 익스트라넷 액세스를 구성할 수 있는 유연한 옵션을 제공합니다. 서버 팜에 있는 사이트의 하위 사이트에 대해 인터넷 연결 액세스를 제공하거나 서버 팜의 콘텐츠를 인터넷에서 액세스할 수 있도록 설정할 수 있습니다. 회사 네트워크 내에서 익스트라넷 콘텐츠를 호스팅하고 이러한 콘텐츠를 경계면 방화벽을 통해 사용할 수 있도록 설정하거나 경계 네트워크 내의 서버 팜을 격리할 수 있습니다.
익스트라넷 환경 계획
이 문서의 나머지 부분에서는 Office SharePoint Server 2007에서 테스팅된 특정 익스트라넷 토폴로지에 대해 설명합니다. 이 문서에서 다루는 토폴로지는 Office SharePoint Server 2007의 요구 사항 및 장단점을 비롯하여 사용 가능한 옵션을 이해하는 데 도움이 됩니다.
다음 섹션에서는 익스트라넷 환경과 관련된 추가 계획 작업을 중심으로 설명합니다.
네트워크 경계 기술 계획
각 토폴로지에서 그림으로 나타낸 네트워크 경계 기술은 Microsoft Forefront Edge 제품군의 제품인 Microsoft Internet Security and Acceleration(ISA) Server 및 Intelligent Application Gateway(IAG) 2007 중 하나나 둘 다입니다. 이러한 Microsoft Forefront Edge 제품에 대한 자세한 내용은 다음 리소스를 참조하십시오.
ISA Server 홈 페이지(https://go.microsoft.com/fwlink/?linkid=86495&clcid=0x412)
ISA Server 2006의 네트워크 개념 (영문)(https://go.microsoft.com/fwlink/?linkid=86497&clcid=0x412)
참고
다른 네트워크 경계 기술을 대신 사용할 수 있습니다.
IAG Server에서는 다음과 같은 추가 기능을 제공합니다.
정보 누출 방지: 클라이언트 컴퓨터에서 잔여 데이터가 남아 있지 않으며 모든 캐시, 임시 파일 및 쿠키가 삭제됩니다.
끝점, 상태 기반 권한 부여: 관리자가 사용자의 ID와 노출되는 정보뿐만 아니라 클라이언트 컴퓨터의 조건도 기반으로 하는 액세스 정책을 정의할 수 있습니다.
Outlook Web Access에서 SharePoint 사이트 액세스: 사용자가 Outlook Web Access를 통해 전자 메일로 전송된 링크에서 SharePoint 사이트에 액세스할 수 있습니다. IAG는 내부 URL을 참조하는 링크를 변환하는 기능을 제공합니다.
통합된 포털: 로그온 시 IAG는 각 사용자에게 해당 사용자가 사용할 수 있고 해당 사용자에게 권한이 부여된 SharePoint 사이트와 기타 응용 프로그램의 목록을 제공합니다.
다음 표에는 두 서버의 차이가 요약되어 있습니다.
기능 | ISA 2006 | IAG 2007 |
---|---|---|
HTTPS를 사용하여 웹 응용 프로그램 게시 |
X |
X |
로밍 모바일 장치에 내부 모바일 응용 프로그램 게시 |
X |
X |
계층 3 방화벽 |
X |
X* |
아웃바운드 시나리오 지원 |
X |
X* |
배열 지원 |
X |
|
세계화 및 관리 콘솔 지역화 |
X |
|
SharePoint 사이트와 Exchange를 게시하기 위한 마법사 및 미리 정의된 설정 |
X |
X |
다양한 응용 프로그램을 게시하기 위한 마법사 및 미리 정의된 설정 |
X |
|
ADFS(Active Directory Federation Services) 지원 |
X |
|
다양한 인증(예: 일회용 암호, 폼 기반, 스마트 카드) |
X |
X |
응용 프로그램 보호(웹 응용 프로그램 방화벽) |
기본 |
전체 |
끝점 상태 검색 |
X |
|
정보 누출 방지 |
X |
|
세분화된 액세스 정책 |
X |
|
통합된 포털 |
X |
* ISA에서 지원합니다. ISA는 IAG 2007에 포함되어 있습니다.
인증 및 논리 아키텍처 계획
익스트라넷 토폴로지를 선택하거나 디자인하는 것 외에도 내부 네트워크 밖의 지정된 사용자에게 액세스를 허용하고 서버 팜의 사이트와 콘텐츠를 안전하게 보호하기 위한 인증 전략 및 논리 아키텍처도 디자인해야 합니다. 자세한 내용은 다음 리소스를 참조하십시오.
도메인 트러스트 관계 계획
서버 팜이 경계 네트워크 내에 있으면 이 네트워크에 자체 Active Directory 디렉터리 서비스 인프라와 도메인이 있어야 합니다. 일반적으로 경계 도메인과 회사 도메인은 서로 트러스트되도록 구성되지 않습니다. 그러나 몇몇 시나리오에서는 트러스트 관계가 필요할 수 있습니다. 다음 표에서는 트러스트 관계의 필수 여부에 영향을 주는 시나리오를 간단히 설명합니다.
시나리오 | 설명 |
---|---|
Windows 인증 |
경계 도메인이 회사 네트워크 도메인을 트러스트하는 경우 해당 회사 도메인 자격 증명을 사용하여 내부 직원과 원격 직원을 모두 인증할 수 있습니다. 이 시나리오에서 인증 전략과 논리 아키텍처를 디자인하는 방법에 대한 자세한 내용은 논리 아키텍처 모델: 기업 배포를 참조하십시오. |
폼 인증 및 웹 SSO(Single Sign-On) |
폼 인증 및 웹 SSO를 사용하여 Active Directory 환경에서 내부 직원과 원격 직원을 모두 인증할 수 있습니다. 예를 들어 웹 SSO를 사용하여 ADFS(Active Directory Federation Services)에 연결할 수 있습니다. 폼 인증이나 웹 SSO를 사용하면 도메인 간에 트러스트 관계가 필요하지 *않습니다*. 그러나 인증 공급자에 따라 Office SharePoint Server 2007의 기능 중 몇 가지를 사용하지 못할 수도 있습니다. 폼 인증이나 웹 SSO를 사용할 때 영향을 받을 수 있는 기능에 대한 자세한 내용은 Office SharePoint Server의 웹 응용 프로그램에 대한 인증 설정 계획을 참조하십시오. |
콘텐츠 게시 |
한 도메인에서 다른 도메인으로 콘텐츠를 게시할 경우에는 도메인 간의 트러스트 관계가 필요하지 *않습니다*. 트러스트 관계가 필요하지 않도록 하려면 콘텐츠를 게시하는 데 적절한 계정을 사용해야 합니다. 자세한 내용은 익스트라넷 환경을 위한 보안 강화 계획에서 "콘텐츠 게시에 대한 보안 강화"를 참조하십시오. |
익스트라넷 환경에서 단방향 트러스트 관계를 구성하는 방법에 대한 자세한 내용은 익스트라넷 환경을 위한 보안 강화 계획을 참조하십시오.
가용성 계획
이 문서에 설명된 익스트라넷 토폴로지는 다음과 같은 상황을 설명하기 위한 것입니다.
전체 네트워크 내에 서버 팜이 있는 경우
각 서버 역할이 익스트라넷 환경 내에 있는 경우
이 문서는 배포해야 할 서버 역할을 계획하거나 중복을 구현하기 위해 각 역할에 배포해야 할 서버 수를 계획하는 데 도움이 되는 내용을 제공하기 위해 작성된 것이 아닙니다. 사용 환경에 필요한 서버 팜의 수를 결정한 후에는 중복 계획(Office SharePoint Server) 문서를 사용하여 각 서버 팜에 대한 토폴로지를 계획하십시오.
보안 강화 계획
익스트라넷 토폴로지를 디자인한 후에는 다음 리소스를 사용하여 보안 강화를 계획합니다.
경계면 방화벽 토폴로지
이 구성은 인터넷과 회사 네트워크 간의 경계에 있는 역방향 프록시 서버를 사용하여 요청을 가로챈 다음 인트라넷에 있는 적절한 웹 서버에 전달합니다. 프록시 서버는 구성 가능한 규칙 집합을 사용하여 요청이 시작된 영역을 기준으로 요청된 URL이 허용되는지 확인합니다. 그런 다음는 요청된 URL이 내부 URL로 변환됩니다. 다음 그림은 경계면 방화벽 토폴로지를 보여 줍니다.
장점
최소 수준의 하드웨어 및 구성이 요구되는 가장 간단한 솔루션입니다.
전체 서버 팜이 회사 네트워크 내에 있습니다.
데이터가 한 곳에 있습니다.
데이터가 신뢰할 수 있는 네트워크 내에 있습니다.
데이터 유지 관리 작업이 한 곳에서 이루어집니다.
내부 요청과 외부 요청 모두에 사용되는 하나의 팜에서는 사용 권한이 부여된 모든 사용자에게 동일한 콘텐츠가 표시되어야 합니다.
내부 사용자 요청이 프록시 서버를 통과하지 않습니다.
단점
- 단일 방화벽이 회사 내부 네트워크를 인터넷에서 분리합니다.
연속 경계 토폴로지
연속 경계 토폴로지는 다음 그림에서 보듯이 별도의 경계 네트워크에서 서버 팜을 격리합니다.
이 토폴로지에는 다음과 같은 특징이 있습니다.
모든 하드웨어 및 데이터가 경계 네트워크에 있습니다.
서버 팜 역할과 네트워크 인프라 서버를 여러 계층으로 분리할 수 있습니다. 네트워크 계층을 결합하면 복잡성과 비용을 줄일 수 있습니다.
특정 계층의 요청만 허용하도록 각 계층을 추가 라우터나 방화벽으로 구분할 수 있습니다.
내부 네트워크의 요청은 내부 연결 ISA Server를 통해 전달되거나 경계 네트워크의 공용 인터페이스를 통해 라우팅됩니다.
위 그림은 전용 서버 역할을 하며 계층 2에 있는 모든 응용 프로그램 서버 역할을 보여 줍니다. 실제 배포 시에는 여러 응용 프로그램 서버 역할이 하나의 응용 프로그램 서버에 있을 수 있습니다. 또한 일부 팜은 계층 2에 응용 프로그램 서버 역할로 배포하지 않고 계층 1의 웹 서버에 쿼리 역할을 배포할 경우에 더욱 최적화됩니다.
장점
콘텐츠가 익스트라넷의 단일 팜에 격리되어 인트라넷과 익스트라넷 전체에서 콘텐츠를 간단하게 공유하고 유지 관리할 수 있습니다.
외부 사용자 액세스가 경계 네트워크에 격리됩니다.
익스트라넷이 손상된 경우 영향을 받는 계층이나 경계 네트워크에 대한 손상이 잠재적으로 제한됩니다.
별도의 Active Directory 인프라를 사용하면 내부 회사 디렉터리에 영향을 주지 않고 외부 사용자 계정을 만들 수 있습니다.
단점
- 추가 네트워크 인프라 및 구성이 필요합니다.
콘텐츠 게시 기능이 있는 연속 경계 토폴로지
이 토폴로지는 콘텐츠 게시 기능을 연속 경계 토폴로지에 추가합니다. 콘텐츠 게시 기능을 추가하면 회사 네트워크 내에서 개발한 사이트 및 콘텐츠를 경계 네트워크에 있는 서버 팜에 게시할 수 있습니다.
다음 그림은 콘텐츠 게시 기능이 있는 연속 경계 토폴로지를 보여 줍니다.
이 토폴로지에는 다음과 같은 특징이 있습니다.
별도의 팜 두 개가 필요합니다. 하나는 회사 네트워크에 있고 다른 하나는 경계 네트워크에 있어야 합니다.
단방향으로 게시됩니다. 경계 네트워크에서 만들거나 수정한 모든 콘텐츠는 고유합니다.
위 그림은 콘텐츠 준비 팜의 중앙 관리 사이트에서 대상 팜의 중앙 관리 사이트로 콘텐츠를 배포하는 경로를 보여 줍니다. 중앙 관리 사이트는 대개 응용 프로그램 서버 중 하나에 설치됩니다. 이 그림에서는 중앙 관리 사이트를 별도로 호출하여 콘텐츠 배포에서 해당 사이트의 역할을 보여 줍니다.
장점
고객 관련 콘텐츠 및 파트너 관련 콘텐츠를 별도의 경계 네트워크에 격리합니다.
콘텐츠 게시 작업을 자동화할 수 있습니다.
인터넷 액세스로 인해 경계 네트워크의 콘텐츠가 손상되는 경우 회사 네트워크에 있는 콘텐츠의 무결성은 그대로 유지됩니다.
단점
별도의 팜 두 개를 유지 관리하기 위해 더 많은 하드웨어가 필요합니다.
데이터 오버헤드가 더 큽니다. 콘텐츠는 서로 다른 두 개의 팜과 네트워크에서 유지 관리되고 조정됩니다.
경계 네트워크의 콘텐츠를 변경해도 회사 네트워크에는 반영되지 않습니다. 따라서 경계 도메인에 게시하는 콘텐츠는 공동 작업하는 익스트라넷 사이트에서 사용할 수 없습니다.
정적 콘텐츠 호스팅에 대해 최적화된 연속 경계 토폴로지
콘텐츠가 완전히 정적이거나 대부분이 정적인 환경에서는 IAG 2007 또는 ISA Server 2006의 캐싱 기능을 구현하여 성능을 최적화할 수 있습니다. Office SharePoint Server 2007의 캐싱 기능과 함께 IAG 또는 ISA 캐싱도 구성할 수 있습니다.
예를 들어, ISA Server는 다음 두 가지 형식의 캐싱을 제공합니다.
정방향 캐싱 정방향 캐싱은 인터넷에 대한 웹 요청을 만드는 내부 사용자에게 캐시된 웹 개체를 제공합니다.
역방향 캐싱 역방향 캐싱은 ISA Server에서 게시한 내부 웹 서버에 대한 요청을 만드는 외부 인터넷 고객에게 캐시된 웹 개체를 제공합니다.
ISA 캐싱에 대한 자세한 내용은 ISA Server 2006의 캐싱 및 CARP (영문)(https://go.microsoft.com/fwlink/?linkid=86531&clcid=0x412)를 참조하십시오.
다음과 같은 경우에만 Office SharePoint Server 2007 캐싱과 함께 IAG 또는 ISA 캐싱을 사용합니다.
콘텐츠가 정적입니다. 페이지의 일부가 캐시되지 않는 캐시 후 대체는 사용되지 않습니다. URL이 수정되지 않습니다.
콘텐츠는 100% 익명입니다.
IAG 및 ISA 캐싱을 사용하면 웹 서버에 병목 현상이 발생할 수도 있었던 성능을 향상시켜 단일 팜의 한계 이상으로 확장할 수 있습니다. 그러면 최대 웹 서버 수에 도달했을 때 성능을 향상시키거나, 필요한 웹 서버 수를 줄일 수 있습니다.
다음 그림은 콘텐츠를 캐시하는 데 사용되는 여러 IAG 또는 ISA Server를 보여 줍니다.
위 그림은 다음과 같은 선택을 보여 줍니다.
쿼리 역할이 웹 서버에 설치됩니다.
중앙 관리 사이트가 인덱스 서버에 설치됩니다.
장점
완전히 정적인 콘텐츠나 거의 정적인 콘텐츠를 호스팅할 때 성능이 크게 향상됩니다.
웹 서버 및 데이터베이스 서버의 요청 수를 줄입니다.
익스트라넷 솔루션을 확장하는 방법을 제공합니다.
단점
- ISA 캐싱은 콘텐츠가 동적이거나 자주 변경되는 환경에서 전체 성능을 저하시킬 수 있습니다.
분할 연속 토폴로지
이 토폴로지는 팜을 경계 네트워크와 회사 네트워크로 분할합니다. Microsoft SQL Server 데이터베이스 소프트웨어를 실행하는 컴퓨터는 회사 네트워크 내에서 호스팅됩니다. 웹 서버는 경계 네트워크에 있습니다. 응용 프로그램 서버 컴퓨터는 경계 네트워크나 회사 네트워크 중 한 곳에서 호스팅할 수 있습니다.
위 그림의 내용은 다음과 같습니다.
응용 프로그램 서버는 경계 네트워크 내에서 호스팅됩니다. 이 옵션은 파선 안쪽의 파란색 서버로 표시됩니다.
응용 프로그램 서버는 필요에 따라 데이터베이스 서버가 있는 회사 네트워크 내에 배포할 수 있습니다. 이 옵션은 파선 안쪽의 회색 서버로 표시됩니다. 데이터베이스 서버가 있는 회사 네트워크 내에 응용 프로그램 서버를 배포하는 경우 이러한 서버(회사 네트워크 내에 회색 서버로 표시된 서버)를 지원하려면 Active Directory 환경도 갖추어야 합니다.
서버 팜이 경계 네트워크와 회사 네트워크 내에 데이터베이스 서버가 있는 회사 네트워크로 분할된 경우에 SQL Server에 액세스하는 데 Windows 계정을 사용하면 도메인 트러스트 관계가 필요합니다. 이 경우 경계 도메인이 회사 도메인을 트러스트해야 합니다. SQL 인증을 사용하는 경우에는 도메인 트러스트 관계가 필요하지 않습니다. 이 토폴로지에 사용할 계정을 구성하는 방법에 대한 자세한 내용은 익스트라넷 환경을 위한 보안 강화 계획 문서에서 "도메인 트러스트 관계"를 참조하십시오.
검색 성능과 크롤링을 최적화하려면 응용 프로그램 서버를 데이터베이스 서버가 있는 회사 네트워크 내에 배치합니다. 회사 네트워크 내에 있는 인덱스 서버에 웹 서버 역할을 추가하고 이 웹 서버를 인덱스 서버에서 콘텐츠 크롤링 전용으로 사용하도록 구성할 수도 있습니다. 그러나 쿼리 역할이 팜의 다른 서버에도 있으면 인덱스 서버에 쿼리 역할을 추가하지 마십시오. 경계 네트워크에 웹 서버를 배치하고 회사 네트워크 내에 응용 프로그램 서버를 배치하는 경우 경계 네트워크 도메인이 회사 네트워크 도메인을 트러스트하는 단방향 트러스트 관계를 구성해야 합니다. 이 시나리오에서 팜 내의 서버 간 통신을 지원하려면 Windows 인증 또는 SQL 인증 중 어떤 인증을 사용하든 관계없이 SQL Server에 액세스하는 데 이 단방향 트러스트 관계가 필요합니다.
하나 이상의 웹 서버를 회사 네트워크에 두어 내부 요청을 처리할 수 있습니다. 이렇게 하면 경계 네트워크 및 회사 네트워크 간 웹 서버가 분리됩니다. 이렇게 하려면 인터넷의 트래픽이 경계 네트워크의 웹 서버로 부하 분산되고 회사 네트워크 내의 트래픽이 회사 네트워크 내의 웹 서버로 독립적으로 부하 분산되어야 합니다. 각 네트워크 세그먼트에 대한 다른 대체 액세스 매핑 영역 및 방화벽 게시 규칙도 설정해야 합니다.
회사 네트워크 내에 있는 준비 팜의 콘텐츠를 익스트라넷의 콘텐츠(회사 네트워크 내에도 있음)를 호스팅하는 데이터베이스 서버에 게시할 계획을 세우는 경우 중앙 관리 사이트를 비롯하여 회사 네트워크 내에 있는 응용 프로그램 서버를 호스팅하여 팜을 최적화할 수 있습니다. 그 이유는 다음과 같습니다.
콘텐츠 게시에 대한 데이터 스트림이 준비 팜의 중앙 관리 사이트에서 대상 팜의 중앙 관리 사이트까지 이동합니다. 중앙 관리 사이트가 회사 네트워크 내에 있으면 콘텐츠 게시 데이터 스트림이 경계 네트워크와 회사 네트워크 사이의 방화벽을 통과하지 않습니다. 반대로 중앙 관리 사이트가 경계 네트워크에 있으면 데이터 스트림이 대상 팜의 콘텐츠 데이터베이스에 도달할 때까지 양방향에서 방화벽을 통과합니다.
회사 네트워크 내에서 인덱싱이 수행됩니다.
다음 그림은 콘텐츠 게시를 위해 최적화된 분할 연속 토폴로지 환경을 보여 줍니다.
위 그림은 다음과 같은 선택을 보여 줍니다.
쿼리 역할이 경계 네트워크의 웹 서버에 설치됩니다.
응용 프로그램 서버는 데이터베이스 서버가 있는 회사 네트워크에 있습니다. 이 경우 경계 도메인이 회사 도메인을 트러스트할 수 있는 단방향 트러스트 관계가 필요합니다.
프로덕션 팜의 중앙 관리 사이트가 인덱스 서버에 설치됩니다.
웹 서버 역할이 인덱스 서버에 설치되고 콘텐츠 크롤링 전용으로 사용됩니다.
장점
SQL Server를 실행하는 컴퓨터는 경계 네트워크 내에서 호스팅되지 않습니다.
회사 네트워크 내에 있는 팜 구성 요소와 경계 네트워크 내에 있는 팜 구성 요소가 동일한 데이터베이스를 공유할 수 있습니다.
콘텐츠를 회사 네트워크 내의 단일 팜으로 격리할 수 있습니다. 그러면 회사 네트워크와 경계 네트워크 전체에서 콘텐츠를 간편하게 공유하고 유지 관리할 수 있습니다.
별도의 Active Directory 인프라를 사용하면 내부 회사 디렉터리에 영향을 주지 않고 외부 사용자 계정을 만들 수 있습니다.
단점
솔루션이 매우 복잡해집니다.
경계 네트워크 리소스를 손상시키는 침입자가 서버 팜 계정을 사용하여 회사 네트워크에 저장된 팜 콘텐츠에 대한 액세스 권한을 얻게 될 수도 있습니다.
일반적으로 팜 간 통신은 두 개의 도메인으로 분할됩니다.
이 문서의 다운로드
이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.
사용 가능한 문서의 전체 목록은 다운로드 가능한 Office SharePoint Server 2007 관련 콘텐츠 (영문)를 참조하십시오.