Azure에서 Azure Traffic Manager를 사용하여 고가용성 교차 지리적 AD FS 배포

  • 아티클

Azure의 AD FS 배포는 Azure 에서 조직에 대한 간단한 AD FS 인프라를 배포하는 방법에 대한 단계별 지침을 제공합니다. 이 문서에서는 Azure Traffic Manager를 사용하여 Azure에서 AD FS의 지리적 간 배포를 만드는 다음 단계를 제공합니다. Azure Traffic Manager를 사용하면 인프라의 다양한 요구에 맞게 다양한 라우팅 방법을 사용하여 조직에 지리적으로 분산된 고가용성 및 고성능 AD FS 인프라를 만들 수 있습니다.

항상 사용 가능한 교차 지리적 AD FS 인프라에서는 다음을 수행할 수 있습니다.

  • 단일 실패 지점 제거: Azure Traffic Manager의 장애 조치 기능을 사용하면 전 세계의 데이터 센터 중 하나가 중단되더라도 고가용성 AD FS 인프라를 달성할 수 있습니다.
  • 향상된 성능: 이 문서에서 제안된 배포를 사용하여 사용자가 더 빠르게 인증하는 데 도움이 되는 고성능 AD FS 인프라를 제공할 수 있습니다.

설계 원칙

Overall design

기본 디자인 원칙은 Azure에서 AD FS 배포 문서의 디자인 원칙에 나열된 것과 동일합니다. 위의 다이어그램에서는 다른 지역에 대한 기본 배포의 단순한 확장을 보여 줍니다. 새 지역으로 배포를 확장하는 경우 고려할 사항은 다음과 같습니다.

  • 가상 네트워크: 추가 AD FS 인프라를 배포하려는 지리적 지역에 새 가상 네트워크를 만들어야 합니다. 위의 다이어그램에서 각 지역에 두 개의 가상 네트워크인 Geo1 VNET과 Geo2 VNET이 표시됩니다.
  • 새 지리적 VNET에서 컨트롤러 및 AD FS 서버를 기본: 새 지역의 AD FS 서버가 다른 멀리 떨어진 네트워크의 do기본 컨트롤러에 연결할 필요가 없도록 새 지역에 do기본 컨트롤러를 배포하여 인증을 완료하고 성능을 향상시키는 것이 좋습니다.
  • Storage 계정: Storage 계정은 지역과 연결됩니다. 새 지역에 컴퓨터를 배포했기 때문에 지역에서 사용할 새 스토리지 계정을 만들어야 합니다.
  • 네트워크 보안 그룹: 스토리지 계정으로 한 지역에서 만든 네트워크 보안 그룹을 다른 지역에서 사용할 수 없습니다. 따라서 새 지역에서 INT 및 DMZ 서브넷에 대한 첫 번째 지역의 네트워크 보안 그룹과 비슷한 새 네트워크 보안 그룹을 만들어야 합니다.
  • 공용 IP 주소에 대한 DNS 레이블: Azure Traffic Manager는 DNS 레이블을 통해서만 엔드포인트를 참조할 수 있습니다. 따라서 외부 부하 분산 장치의 공용 IP 주소에 대한 DNS 레이블을 만들어야 합니다.
  • Azure Traffic Manager: Microsoft Azure Traffic Manager를 사용하면 전 세계 여러 데이터 센터에서 실행되는 서비스 엔드포인트에 대한 사용자 트래픽의 분산을 제어할 수 있습니다. Azure Traffic Manager는 DNS 수준에서 작동합니다. DNS 응답을 사용하여 최종 사용자 트래픽을 전역적으로 분산된 엔드포인트로 전달합니다. 그런 다음 클라이언트는 해당 엔드포인트에 직접 연결합니다. 성능, 가중치 및 우선 순위의 다양한 라우팅 옵션을 사용하면 조직의 요구 사항에 가장 적합한 라우팅 옵션을 쉽게 선택할 수 있습니다.
  • 두 지역에 있는 VNet 간 연결: 가상 네트워크 자체 간을 연결할 필요가 없습니다. 각 가상 네트워크가 도메인 컨트롤러에 액세스하고 자체에 AD FS 및 WAP 서버를 가지고 있기 때문에 다른 지역에 있는 가상 네트워크 간의 연결 없이 작업할 수 있습니다.

Azure Traffic Manager를 통합하는 단계

새 지역에서 AD FS 배포

Azure에서 AD FS 배포의 단계 및 지침에 따라 새 지역에 동일한 토폴로지 배포합니다.

인터넷 연결(공용) 부하 분산 장치의 공용 IP 주소에 대한 DNS 레이블

위에서 멘션 Azure Traffic Manager는 DNS 레이블만 엔드포인트로 참조할 수 있으므로 외부 Load Balancer의 공용 IP 주소에 대한 DNS 레이블을 만드는 것이 중요합니다. 아래 스크린샷은 공용 IP 주소에 대한 DNS 레이블을 구성하는 방법을 보여줍니다.

DNS Label

Azure Traffic Manager 배포

아래 단계를 따라 Traffic Manager 프로필을 만듭니다. 자세한 내용은 Azure Traffic Manager 프로필 관리를 참조할 수도 있습니다.

  1. Traffic Manager 프로필 만들기: Traffic Manager 프로필에 고유한 이름을 지정합니다. 이 프로필의 이름은 DNS 이름의 일부이며 Traffic Manager 도메인 이름 레이블에 대한 접두사의 역할을 담당합니다. 이름/접두사는 트래픽 관리자에 대한 DNS 레이블을 만들기 위해 .trafficmanager.net 추가됩니다. 아래 스크린샷은 mysts로 설정되고 결과 DNS 레이블이 mysts.trafficmanager.net 트래픽 관리자 DNS 접두사를 보여줍니다.

    Traffic Manager profile creation

  2. 트래픽 라우팅 방법: 트래픽 관리자에서 사용할 수 있는 세 가지 라우팅 옵션이 있습니다.

    • 우선 순위

    • 성능

    • 가중치 적용

      성능 은 응답성이 뛰어난 AD FS 인프라를 달성하는 데 권장되는 옵션입니다. 그러나 배포 요구 사항에 가장 적합한 라우팅 방법을 선택할 수 있습니다. AD FS 기능은 선택한 라우팅 옵션의 영향을 받지 않습니다. 자세한 내용은 Traffic Manager 트래픽 라우팅 방법을 참조하세요. 위의 샘플 스크린샷에서 선택한 성능 방법을 볼 수 있습니다.

  3. 엔드포인트 구성: Traffic Manager 페이지에서 엔드포인트를 클릭하고 추가를 선택합니다. 그러면 아래 스크린샷과 유사한 엔드포인트 추가 페이지가 열립니다.

    Configure endpoints

    다른 입력의 경우 아래 지침을 따르세요.

    형식: Azure 공용 IP 주소를 가리키므로 Azure 엔드포인트를 선택합니다.

    이름: 엔드포인트와 연결하려는 이름을 만듭니다. DNS 이름이 아니며 DNS 레코드와 아무런 관련이 없습니다.

    대상 리소스 종류: 공용 IP 주소를 이 속성의 값으로 선택합니다.

    대상 리소스: 구독에서 사용할 수 있는 다양한 DNS 레이블 중에서 선택할 수 있는 옵션을 제공합니다. 구성하는 엔드포인트에 해당하는 DNS 레이블을 선택합니다.

    Azure Traffic Manager에서 트래픽을 라우팅할 각 지리적 지역에 대한 엔드포인트를 추가합니다. Traffic Manager에서 엔드포인트를 추가/구성하는 방법에 대한 자세한 내용 및 자세한 단계는 엔드포인트 추가, 사용 안 함, 사용 또는 삭제를 참조 하세요.

  4. 프로브 구성: Traffic Manager 페이지에서 구성을 클릭합니다. 구성 페이지에서 HTTP 포트 80 및 상대 경로 /adfs/probe에서 프로브하도록 모니터 설정을 변경해야 합니다.

    Configure probe

    참고 항목

    구성이 완료되면 엔드포인트의 상태 ONLINE인지 확인합니다. 모든 엔드포인트가 '성능 저하' 상태인 경우 Azure Traffic Manager는 진단 올바르지 않으며 모든 엔드포인트에 연결할 수 있다고 가정하여 트래픽을 라우팅하는 최선의 시도를 수행합니다.

  5. Azure Traffic Manager에 대한 DNS 레코드 수정: 페더레이션 서비스는 Azure Traffic Manager DNS 이름에 대한 CNAME이어야 합니다. 페더레이션 서비스에 도달하려고 하는 모든 사용자가 실제로 Azure Traffic Manager에 도달하도록 공용 DNS 레코드에서 CNAME을 만듭니다.

    예를 들어 페더레이션 서비스 fs.fabidentity.com Traffic Manager를 가리키려면 DNS 리소스 레코드를 다음과 같이 업데이트해야 합니다.

    fs.fabidentity.com IN CNAME mysts.trafficmanager.net

라우팅 및 AD FS 로그인 테스트

라우팅 테스트

라우팅에 대한 기본 테스트는 각 지역에 있는 컴퓨터에서 페더레이션 서비스 DNS 이름을 ping하는 것입니다. 선택한 라우팅 방법에 따라 실제로 ping하는 엔드포인트가 ping 디스플레이에 반영됩니다. 예를 들어 성능 라우팅을 선택한 경우 클라이언트 영역에 가장 가까운 엔드포인트에 도달하게 됩니다. 다음은 두 개의 서로 다른 지역 클라이언트 컴퓨터에서 두 ping의 스냅샷, 하나는 동아시아 지역에, 다른 하나는 미국 서부에 있습니다.

Routing test

AD FS 로그인 테스트

AD FS를 테스트하는 가장 쉬운 방법은 IdpInitiatedSignon.aspx 페이지를 사용하는 것입니다. 이렇게 하려면 AD FS 속성에서 IdpInitiatedSignOn을 사용하도록 설정해야 합니다. 아래 단계에 따라 AD FS 설정을 확인합니다.

  1. PowerShell을 사용하여 AD FS 서버에서 아래 cmdlet을 실행하여 사용하도록 설정합니다. Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

  2. 외부 컴퓨터 액세스에서 https://<yourfederationservicedns>/adfs/ls/IdpInitiatedSignon.aspx

  3. 아래와 같은 AD FS 페이지가 표시됩니다.

    AD FS test - authentication challenge

    로그인이 성공하면 아래와 같이 성공 메시지가 표시됩니다.

    AD FS test - authentication success

다음 단계