다음을 통해 공유

3단계: 로드 밸런싱된 클러스터 배포 계획하기

부하 분산 구성 및 클러스터 배포를 계획 하는 다음 단계가입니다.

Task Description
3.1 부하 분산 계획 Windows 네트워크 로드 균형 조정 (NLB), 또는 외부 부하 분산 장치 (ELB)를 사용할지 여부를 결정 합니다.
3.2 IP-HTTPS 계획 자체 서명 된 인증서를 사용 하지 않는 경우 원격 액세스 서버는 클러스터의 각 서버에서 SSL 인증서를 IP-HTTPS 연결을 인증 하는 데 필요 합니다.
3.3 VPN 클라이언트 연결에 대 한 계획 VPN 클라이언트 연결 요구 사항을 확인하세요.
3.4 네트워크 위치 서버 계획 원격 액세스 서버에서 호스트 되는 네트워크 위치 서버 웹 사이트 자체 서명 된 인증서 사용 하지 않는 경우 클러스터의 각 서버에 웹 사이트에 연결을 인증 하려면 서버 인증서가 있는지 확인 합니다.

3.1 부하 분산 계획

단일 서버 또는 클러스터의 원격 액세스 서버에서 원격 액세스를 배포할 수 있습니다. 클러스터로의 트래픽을 부하를 분산하여 처리하면 DirectAccess 클라이언트에 높은 가용성과 확장성을 제공할 수 있습니다. 부하 분산 옵션이 두 가지 있습니다.

  • Windows NLB-Windows NLB는 Windows 서버 기능입니다. 이를 사용하기 위해 추가 하드웨어가 필요하지 않습니다. 클러스터의 모든 서버가 트래픽 부하 관리를 담당하기 때문입니다. Windows NLB 원격 액세스 클러스터에서 최대 8 명의 서버를 지원 합니다.

  • 외부 부하 분산 장치-원격 액세스 클러스터 서버 간에 트래픽 부하를 관리 하는 외부 하드웨어 필요 외부 부하 분산 장치를 사용 합니다. 외부 부하 분산 장치를 사용하는 경우, 클러스터 내에서 최대 32대의 원격 액세스 서버를 지원합니다. 외부 부하 분산을 구성할 때 염두에 몇 가지 점은 다음과 같습니다.

    • 관리자는 원격 액세스 부하 분산 마법사를 통해 구성된 가상 IP가 외부 부하 분산 장치(예: F5 Big-IP 로컬 트래픽 관리자 시스템)에서 사용되도록 해야 합니다. 외부 부하 분산이 활성화되면, 외부 및 내부 인터페이스의 IP 주소가 가상 IP 주소로 승격되며, 이를 부하 분산 장치에 연결해야 합니다. 관리자가 클러스터 배포의 공개 이름에 대한 DNS 항목을 변경하지 않아도 되도록 이 작업이 수행됩니다. 또한 IPsec 터널 엔드포인트 Ip 서버에서 파생 됩니다. 관리자가 별도의 가상 IP를 제공하면, 클라이언트는 서버에 연결할 수 없습니다. 3.1.1 외부 로드 밸랜서 구성 예제를 참조하여 외부 로드 밸랜서로 DirectAccess를 구성하는 방법을 확인하십시오.

    • 많은 외부 부하 분산 장치(F5 포함)는 6to4 및 ISATAP의 부하 분산을 지원하지 않습니다. ISATAP 라우터로 사용 중인 원격 액세스 서버의 ISATAP 기능을 다른 컴퓨터로 옮겨야 합니다. ISATAP 기능이 다른 컴퓨터에서 작동하는 경우, DirectAccess 서버에는 ISATAP 라우터와의 기본 IPv6 연결이 반드시 있어야 합니다. DirectAccess를 구성하기 전에 이 연결이 있어야 함을 참고하십시오.

    • 외부 부하 분산을 위해 Teredo를 사용해야 하는 경우, 모든 원격 액세스 서버는 두 개의 연속된 공용 IPv4 주소를 전용 IP 주소로 가져야 합니다. 또한 클러스터의 가상 Ip 두 개의 공용 IPv4 주소가 있어야 합니다. Windows NLB의 경우, 클러스터의 가상 IP만 두 개의 연속적인 공용 IPv4 주소를 가져야 한다는 것은 사실이 아닙니다. Teredo를 사용 하지 않는 경우에 두 개의 IP 주소가 필요 하지 않습니다.

    • 관리자는 외부 부하 분산 장치 또는 그 반대로 Windows NLB에서 전환할 수 있습니다. 참고: 관리자는 외부 로드 밸런서 배포에서 8개 이상의 서버를 보유한 경우 Windows NLB로 전환할 수 없습니다.

3.1.1 외부 부하 분산 장치 구성 예제

이 섹션에서는 새 원격 액세스 배포에는 외부 부하 분산 장치를 사용 하기 위한 구성 단계를 설명 합니다. 외부 로드 밸런서를 사용하는 경우, 원격 액세스 클러스터는 아래 그림처럼 보일 수 있습니다. 이때 원격 액세스 서버는 내부 네트워크에서 회사 네트워크로 로드 밸런서를 통해 연결되며, 외부 네트워크에 연결된 로드 밸런서를 통해 인터넷에도 연결됩니다.

외부 부하 분산 장치 구성 예제

계획 정보

  1. 클라이언트가 원격 액세스에 연결할 때 사용할 외부 VIP(가상 IP)는 131.107.0.102와 131.107.0.103으로 결정되었습니다.

  2. 부하 분산 장치 - 외부 네트워크 자체 IP: 131.107.0.245 (인터넷), 131.107.1.245

    경계 네트워크(완충 지역 및 DMZ라고도 함)는 외부 네트워크의 로드 밸런서와 원격 액세스 서버 사이에 위치합니다.

  3. 경계 네트워크-원격 액세스 서버에 대 한 131.107.1.102, 131.107.1.103 IP 주소

  4. ELB 네트워크의 원격 액세스 서버에 대한 IP 주소 (즉, 내부 네트워크의 부하 분산 장치와 원격 액세스 서버 사이의 네트워크) - 30.11.1.101, 2006:2005:11:1::101

  5. 내부 네트워크 자체 IP의 부하 분산 장치 - 30.11.1.245 2006:2005:11:1::245 (ELB), 30.1.1.245 2006:2005:1:1::245 (Corpnet)

  6. 내부 VIP(클라이언트 웹 탐사 및 네트워크 위치 서버에 사용되는 IP 주소로, 원격 액세스 서버에 설치된 경우)로 30.1.1.10, 2006:2005:1:1::10이 결정되었습니다.

Steps

  1. 외부 네트워크 어댑터(경계망에 연결된 원격 액세스 서버) 를 주소 131.107.0.102, 131.107.0.103으로 구성합니다. 이 단계는 올바른 IPsec 터널 엔드포인트를 검색 하는 DirectAccess 구성에 필요 합니다.

  2. 웹 프로브/네트워크 위치 서버 IP 주소 (30.1.1.10 2006:2005:1:1::10)와 (즉 ELB 네트워크에 연결 된) 원격 액세스 서버의 내부 네트워크 어댑터를 구성 합니다. 이 단계는 클라이언트가 웹 프로브 IP에 액세스할 수 있도록 하여, 네트워크 연결 도우미가 DirectAccess에 대한 연결 상태를 올바르게 표시하도록 하기 위해 필요합니다. 이 단계에서는 DirectAccess 서버에 네트워크 위치 서버가 구성된 경우, 액세스할 수 있습니다.

    Note

    도메인 컨트롤러가 이 구성으로 원격 액세스 서버에서 연결 가능한지 확인하십시오.

  3. 원격 액세스 서버에서 DirectAccess 단일 서버를 구성 합니다.

  4. DirectAccess 구성에서 외부 부하 분산을 사용하도록 설정합니다. 외부 전용 IP 주소로 131.107.1.102를 사용하고, 131.107.1.103는 자동으로 선택됩니다. 내부 전용 DIP로는 30.11.1.101과 2006:2005:11:1::101을 사용합니다.

  5. 131.107.0.102 및 131.107.0.103 주소와 외부 부하 분산 장치에서 외부 가상 Ip (VIP)를 구성 합니다. 또한 외부 로드 밸런서에 내부 VIP를 30.1.1.10 및 2006:2005:1:1::10 주소로 구성하십시오.

  6. 원격 액세스 서버가 이제 계획 된 IP 주소로 구성 되 고 외부 및 내부 IP 주소는 클러스터에 대 한 계획 된 IP 주소에 따라 구성 됩니다.

3.2 IP-HTTPS 계획

  1. 인증서 요구 사항 - 단일 원격 액세스 서버를 배포하는 동안 공용 또는 내부 CA(인증 기관) 또는 자체 서명된 인증서에서 발급한 IP-HTTPS 인증서를 사용하도록 선택했습니다. 클러스터 배포에 대 한 원격 액세스 클러스터의 각 구성원에서 동일한 유형의 인증서를 사용 해야 합니다. 즉, (권장) 공용 CA에서 발급 한 인증서를 사용 하는 경우 클러스터의 각 구성원에서 공용 CA에서 발급 한 인증서를 설치 해야 합니다. 새 인증서의 주체 이름을 현재 배포에 사용 된 IP-HTTPS 인증서의 주체 이름에 동일 해야 합니다. 자체 서명된 인증서를 사용하는 경우, 클러스터 배포 시 각 서버에서 인증서가 자동으로 설정됩니다. 참고하십시오.

  2. 접두사 요구 사항-원격 액세스를 사용하면 SSL 기반 트래픽과 DirectAccess 트래픽을 모두 부하 분산할 수 있습니다. 모든 IPv6 기반 DirectAccess 트래픽의 로드 밸런싱을 위해, 원격 액세스는 모든 전환 기술의 IPv4 터널링을 검사해야 합니다. IP HTTPS 트래픽을 암호화 되어 있으므로 IPv4 터널의 내용 검토 수는 없습니다. IP-HTTPS 트래픽을 부하 분산할 수 있도록 하려면, 각 클러스터 구성원에게 다른 IPv6 /64 접두사를 지정할 수 있을 만큼 충분히 넓은 IPv6 접두사를 할당해야 합니다. 로드 균형 조정된 클러스터에서 최대 32개의 서버를 구성할 수 있습니다. 따라서 /59 접두사를 지정해야 합니다. 이 접두사는 원격 액세스 클러스터의 내부 IPv6 주소에 라우팅 가능 해야 하며 원격 액세스 서버 설치 마법사에서 구성 됩니다.

    Note

    IPv6 활성화된 내부 네트워크에만 접두사 요구 사항이 적용됩니다 (IPv6 전용 또는 IPv4 + IPv6). IPv4만 지원하는 회사 네트워크에서는 클라이언트 접두사가 자동으로 설정되며 관리자가 이를 변경할 수 없습니다.

3.3 VPN 클라이언트 연결에 대 한 계획

VPN 클라이언트 연결에 대 한 고려 사항 많습니다.

  • VPN 클라이언트 주소가 DHCP를 사용하여 할당된 경우에는 VPN 클라이언트 트래픽을 부하 분산할 수 없습니다. 고정 주소 풀이 필요 합니다.

  • 원격 액세스 관리 콘솔의 작업 창에서 VPN 을 사용하도록 설정하여 DirectAccess에만 배포된 부하 분산 클러스터에서 RRAS를 사용하도록 설정할 수 있습니다.

  • 클러스터의 모든 원격 액세스 서버에 수동으로 복제해야 하는 VPN 변경 사항은 라우팅 및 원격 액세스 관리 콘솔 (rrasmgmt.msc)에서 완료된 것입니다.

  • VPN IPv6 클라이언트 트래픽을 부하를 분산할 수 있도록 59 비트 IPv6 접두사를 지정 해야 합니다.

3.4 네트워크 위치 서버 계획

단일 원격 액세스 서버의 네트워크 위치 서버 웹 사이트를 실행 하는 경우 배포 중 선택한 내부 인증 기관 (CA)에서 발급 한 인증서 또는 자체 서명 된 인증서를 사용 합니다. 다음을 참고하십시오.

  1. 원격 액세스 클러스터의 각 구성원에 네트워크 위치 서버 웹 사이트에 대 한 DNS 항목에 해당 하는 네트워크 위치 서버에 대 한 인증서를 있어야 합니다.

  2. 단일 원격 액세스 서버 현재 네트워크 위치 서버 인증서에 있는 인증서와 동일한 방식으로 각 클러스터 서버에 대 한 인증서를 발급 되어야 합니다. 예를 들어 내부 CA에서 발급 한 인증서를 사용 하는 경우에 클러스터의 각 구성원에서 내부 CA에서 발급 한 인증서를 설치 해야 합니다.

  3. 자체 서명 된 인증서를 사용 하는 경우 자체 서명 된 인증서 클러스터 배포 시 자동으로 각 서버에 대해 구성할 수 됩니다.

  4. 인증서의 주체 이름은 원격 액세스 배포에 있는 서버 이름과 동일해서는 안 됩니다.

  • Last updated on