[IIS] 응용 프로그램 풀 구성(3):응용프로그램 ID 구성

WINDOWS/IIS 2012/07/03 21:45

응용프로그램 단위로 프로세스 실행 계정을 할당할 수 있다.

웹 응용프로그램의 성격에 따라 worker process 계정을 달리 하여 응용프로그램의 권한을 유기적으로 관리할 수 있다
또한 각각 다른 계정으로 실행되는 worker process 를 작업관리자의 프로세스 항목에서도 쉽게 식별 할 수 있어
어떤 worker process 가 프로세스를 많이 차지하는 지 등의 모니터링을 쉽게 할 수 있다.



응용프로그램의 worker process 를 어떤 계정 권한으로 실행할지 결정

기본 : Network Service (제한된 권한)

1.미리 정의된 보안 계정
   미리 정의된  Network Service, Local Service, Local System 계정 선택
2.보안 계정 구성
   다른 계정 사용
   계정은 IIS_WPG 그룹의 멤버여야 함

별도의 계정을 만들어 그 계정을 사용할때 주의 할 점은 그 계정이 실행하여야 하는 응용프로그램의 권한을 먼저 확인 해 보는 것이다. 기본적으로 ASP.NET 의 Temp 폴더 및 그외 임시 실행 폴더의 액세스 권한을 확인 하고 별도의 권한체계가 있다면 이 역시 이 계정에 부여 할지 고려 되어야 한다.

아래와 같은 사항을 점검하자
 
 
= 사용자 지정 계정 사용 =

A. 전역적 지정
    machine.config 에 processModel 섹션에 다음을 수정
    enable = “true” , userName=“domain\user”, password=“비밀번호”

B. 풀별 지정

1. IIS_WPG 그룹의 멤버여야 함

2. %installroot%\ASP.NET 임시 파일 디렉터리에 읽기/쓰기 권한 부여
   (동적으로 컴파일 되는 출력을 위해 사용)  ex:C:\WINDOWS/Microsoft.Net/…

3. %temp% 디렉터리에 읽기/쓰기 권한 부여
   (컴파일러에서 동적 컴파일을 수행하는 동안 사용) ex:C:\WINDOWS\Temp

4. 다음 디렉터리에 읽기 권한 부여
    - 응용프로그램 디렉터리
    - 전역 어셈블리 캐시(%windir%\assembly)
    - 웹사이트 루트 디랙터리
    - %installroot% 계층. 시스템 어셈블리에 액세스 하기 위해 필요

5. 기타 폴더(사용자 지정 로그를 저장하는 폴더등에 적합한 권한 부여)

6. 적용
   바로 적용 : 풀을 재시작.   

Trackback 1233 : Comment 0

[IIS] 응용 프로그램 풀 구성(2):응용프로그램 상태 및 성능 구성

WINDOWS/IIS 2012/07/03 21:43



1.유휴 시간 제한(기본 20분)
   worker process 가 설정된 값 동안 유휴 상태이면 process 를 중지한다

2.요청 큐 제한(기본 1000)
   응용프로그램 풀의 요청 대기열의 요청 수를 제한한다. 만일 대기열 제한에 다다르면, IIS 는 요청을 거부하고
   사용자에게 503 HTTP 오류를 보낸다.

   평균 요청 대기열 크기 값(권장 사항) :  메모리 크기(MB) * CPU 개수 * 10/웹 응용프로그램 수

3.CPU 모니터링
   3.1 최대 CPU 사용
         프로세스의 cpu 최대 점유율 설정. 최소 90% 이상으로 설정.
         단, worker process 가 다른 프로세스를 방해할 때만 재생되도록 하려면 100%로 설정

   3.2 CPU 사용량 새로 고침 간격
         CPU 사용량 확인 간격 설정

  3.3 CPU 사용량이 최대 CPU 사용량을 넘을 때 수행할 작업
       작업 안함 : 이벤트 로그 저장
       시스템 종료 : 이벤트 로그 저장 + 해당 풀의 worker process 의 재생 요청

4.웹 가든   
   응용프로그램 풀의 worker process 개수 설정(기본 1)





1.작업자 프로세스 Ping 실행 간격(기본 30초)
   ping 처리로 worker process 의 응답확인(상태 모니터링)을 위한 ping 시간 간격 설정
   svchost.exe(WAS) 는 지정된 간격에 따라 w3wp.exe 에게 ping 을 보낸다

2.오류 급증 시 보호 기능 사용
   2.1 오류 수 : 풀 보호(중지)를 위해 최대 worker process 의 오류 수 설정 (기본 5)

   2.2 시간 간격 : 오류 수가 발생 한 시간 간격 설정

   즉, 5분 내에 worker process 의 오류 수가 5개가 될 경우 오류 급증 기능 사용이 된다

* worker process 는 설정된 시간 안에 시작 또는 종료 되어야 한다

3.작업자 프로세스 시작 시간 제한
   시간 제한 설정 내에서 새 worker process 를 시작할 수 없다면 서비스가 중지 된다
   (새 worker process 가 정시에 시작됨을 보장하기 위함)  

4.작업자 프로세스 종료 시간 제한
  worker process 종료하는데 걸리는 최대 시간 설정(기본 90초)
  만일, 프로세스 재생 시 기존(old) worker process 는 마지막으로 받은 요청을 처리하고 자동으로 죽는다.
  이 경우 90초 동안 요청 처리를 다 하지 못하면 강제로 죽인다.(작업자자 프로세스의 중지를 보장하기 위함)


 

Trackback 361 : Comment 0