| Oracle® Database Net Services管理者ガイド 11gリリース2 (11.2) B56288-05 |
|
 前 |
 次 |
この章では、Oracle Net ServicesアーキテクチャおよびOracle Net Foundationレイヤーの基本要素を説明します。
この章の内容は、次のとおりです。
Oracle Net Servicesは、異機種間分散コンピューティング環境にある企業全体への接続ソリューションを提供します。Oracle Net Servicesは、複雑なネットワーク構成や管理を簡略化し、パフォーマンスを最大化して、ネットワーク診断機能を向上させます。
この項では、代表的なネットワーク構成に関係する基本的なネットワーキングの概念を説明します。この項で説明する項目は、次のとおりです。
Oracle Net Servicesのコンポーネントの1つであるOracle Netでは、クライアント・アプリケーションからOracle Databaseサーバーへのネットワーク・セッションを可能にします。一度ネットワーク・セッションが確立されると、Oracle Netは、クライアント・アプリケーションおよびデータベースのデータ送信手段として機能します。クライアント・アプリケーションとデータベース間でのメッセージの交換に加え、これらの間の接続を確立および維持します。このようなジョブの実行は、Oracle Netがネットワーク上の各コンピュータに配置されることにより可能になります。
この項では、接続に関する次の項目を説明します。
Oracle Neを使用すると、従来のクライアント/サーバー・アプリケーションからOracle Databaseサーバーへの接続が可能になります。図1-1は、Oracle Netがクライアントとデータベース・サーバー間でネットワーク接続を可能にする方法を示しています。Oracle Netは、クライアントおよびデータベース・サーバーの両方に存在するソフトウェア・コンポーネントです。Oracle NetはネットワークOracle protocol supportの最上位レイヤーになります。つまり、アプリケーションがネットワークにアクセスする方法およびネットワーク上でデータを転送するためにパケットに分割する方法を決定するルールです。図1-1では、Oracle NetはTCP/IPと通信するので、コンピュータ・レベルの接続およびクライアントとデータベース間のデータ転送が可能になります。
特に、Oracle Netは接続の確立と維持を行うOracle Net Foundationレイヤーと、そのテクノロジを業界標準のプロトコルにマップするOracle protocol supportで構成されています。
Javaクライアント・アプリケーションは、Oracle DatabaseにJava Database Connectivity(JDBC)ドライバを介してアクセスします。これはJavaからリレーショナル・データベースへの接続を提供する標準のJavaインタフェースです。オラクル社は次のドライバを提供します。
クライアント側のJDBC OCIドライバは、Oracleクライアントをインストールして使用します。
クライアント側のPure JavaドライバであるJDBC Thinドライバは、Oracleのインストールを必要とせず、主にアプレットと一緒に使用します。
これらのドライバはOracle Netを使用するため、クライアント・アプリケーションとOracle Database間の接続を確立できます。
図1-2は、JDBC OCIドライバおよびOracle Databaseサーバーを使用するJavaクライアント・アプリケーションを示しています。JavaクライアントはJDBC OCIドライバへのコールを作成します。これにより、JDBCコールはOracle Netレイヤーに直接変換されます。次にクライアントは、Oracle Netで構成されたOracle Databaseとの通信にOracle Netを使用します。
|
関連項目: 『Oracle Database JDBC開発者ガイドおよびリファレンス』 |
クライアントのWebブラウザからOracle Databaseサーバーへのインターネット接続は、接続要求がアプリケーションWebサーバーに送られる点を除いて、クライアント/サーバー・アプリケーションへの接続と同じです。
図1-3では、クライアントWebブラウザ、アプリケーションWebサーバー、Oracle Databaseサーバーを含むWebクライアント接続の基本アーキテクチャを示します。クライアント上のブラウザは、HTTPプロトコルを使用してWebサーバーと通信し、接続要求を作成します。Webサーバーは、処理を行うアプリケーションに要求を送信します。次にアプリケーションは、Oracle Netで構成されたOracle Databaseサーバーとの通信にOracle Netを使用します。
基本コンポーネントの特長は次のとおりです。
HyperText Transfer Protocol(HTTP)
HTTPは、WebブラウザとアプリケーションWebサーバーの通信を可能にする言語を提供します。
アプリケーションWebサーバーは、Webサイトのデータの管理とアクセス制御、Webブラウザからの要求への応答を実行します。Webサーバー上のアプリケーションは、データベースと通信し、Webサーバーから要求されたジョブを実行します。
図1-4で示すように、アプリケーションWebサーバーは、Javaアプリケーションおよびサーブレットをホストできます。Webブラウザは、HTTPを介してアプリケーションWebサーバーに通信することによって、接続要求を作成します。アプリケーションWebサーバーは要求をアプリケーションまたはサーブレットに送信します。アプリケーションまたはサーブレットは、JDBC OCIまたはJDBC Thinドライバを使用して要求を処理します。次にドライバは、Oracle Netで構成されたOracle Databaseサーバーとの通信にOracle Netを使用します。
アプリケーションにアクセスするためにアプリケーションWebサーバーを必要としないWebクライアントは、Oracle Databaseに直接アクセスできます。たとえば、Javaアプレットを使用します。通常の接続に加えて、データベースはHTTPプロトコル、FTPプロトコルまたはWebDAVプロトコル接続を受け入れるように構成できます。これらのプロトコルは、Oracle DatabaseインスタンスのOracle XML DBへの接続に使用します。
図1-5では、2つの異なるWebクライアントを示します。最初のWebクライアントはデータベースへのHTTP接続を作成します。2番目のWebクライアントは、WebブラウザとJDBC Thinドライバを使用します。次にこのドライバは、JavaNetと呼ばれるJava版のOracle Netを使用して、Oracle Netで構成されたOracle Databaseサーバーと通信します。
|
関連項目: 『Oracle XML DB開発者ガイド』 |
Oracle Net Servicesは、ネットワーキング・コンポーネントを簡単に構成および管理できる複数の管理機能を提供します。これらの機能は、次の項目で説明しています。
各データベースは、1つ以上のサービスで表されます。サービスは、サービス名(sales.us.example.comなど)で識別されます。クライアントはサービス名を使用して、自身がアクセスする必要があるデータベースを識別します。データベース・サービスおよびネットワーク上の位置についての情報は、クライアントに対して透過的です。これは、接続に必要な情報がリポジトリに保存されているためです。
リポジトリは、1つ以上のネーミング・メソッドによって表現されます。ネーミング・メソッドとは、データベース・サービスに接続するときに、クライアント・アプリケーションが接続識別子を接続記述子に変換するために使用する解決メソッドです。Oracle Net Servicesは、いくつかの種類のネーミング・メソッドを提供しています。これらは、各クライアント上のローカル構成またはネットワーク上のすべてのクライアントがアクセスできる集中化された構成をサポートしています。GUIによって、ネーミング・メソッドに保存されたデータを管理できます。
たとえば、図1-6では、企業にクライアントがアクセスできるデータベースが3つあります。各データベースには、sales.us.example.com、hr.us.example.comおよびmktg.us.example.comなどの個別のサービス名があります。
クライアントはリポジトリを使用して、sales.us.example.comに必要な情報を探します。
クライアントは必要な情報を得ると、データベースに接続します。
大規模なネットワーキング環境を管理するために、管理者は集中化されたリポジトリにアクセスして、容易にネットワーク構成の指定や変更をできる必要があります。このため、Oracle Net Servicesの構成は、LDAP準拠ディレクトリ・サーバーに保存できます。
LDAP準拠のディレクトリ・サーバーのサポートによって、分散Oracleネットワークの管理および構成のための集中化された媒体が提供されます。このディレクトリは、データベース・ネットワーク・コンポーネント、ユーザー・ポリシー、企業ポリシー、ユーザー認証およびユーザー・セキュリティに関するすべてのデータの中央リポジトリとして機能できるので、クライアント側およびサーバー側に局在化している構成ファイルに置き換えられます。
ネットワーク上のすべてのコンピュータは、ディレクトリで情報を参照できます。図1-7では、クライアント、その他のサーバー(アプリケーションWebサーバーなど)、集中化されたディレクトリ・サーバーに接続するOracle Databaseサーバーを示します。
Oracle Databaseサーバーとクライアントのネットワーキング要素は、ほとんどの環境に対して事前に構成されます。簡易接続ネーミング・メソッドはデフォルトで使用可能になり、リポジトリを必要としません。クライアントは、データベースのホスト名のみを使用して接続します。結果として、クライアントとサーバーは簡易接続を使用して即座に接続できる状態にあるため、ユーザーは分散環境の利点を活用できます。
Oracle Databaseの共有サーバー・アーキテクチャにより、アプリケーションの拡張性とデータベースへ同時に接続できるクライアント数は増大します。また共有サーバー・アーキテクチャでは、既存のアプリケーションの能力を、アプリケーション自体に何ら変更を加えずにスケールアップできます。
共有サーバーを使用すると、クライアントはデータベース・サーバー・プロセスと直接通信しません(サーバー・プロセスは、データベース上の1つのプロセスで、データベースにかわってクライアントの要求を処理します)。そのかわり、クライアントの要求は1つ以上のディスパッチャにルーティングされます。ディスパッチャはクライアントの要求を共通のキューに登録します。サーバー・プロセスの共有プールにあるアイドル状態の共有サーバーは、このキューから要求を取り出して処理します。つまり、サーバー・プロセスの小規模プールによる多数のクライアントの処理が可能になります。
図1-8および図1-9は、共有サーバー接続モデルと従来の専用サーバー接続モデルの基本的な違いを示しています。共有サーバー・モデルでは、ディスパッチャは同時に複数のクライアント接続をサポートします。専用サーバー・モデルでは、各クライアントに対してサーバー・プロセスは1つです。接続要求が受け取られるたびに、サーバー・プロセスが起動され、処理が完了するまでその接続の専用になります。このモデルでは、処理の遅延が起こります。
共有サーバーは、接続が多い場合に理想的な構成です。これは、この構成によってサーバーのメモリー要件が軽減されるためです。共有サーバーは、インターネットおよびイントラネットの両方の環境に適しています。
サーバー・リソースの使用率は、共有サーバーを通じて構成できるOracle Net Services機能によって、さらに高めることができます。これらの機能は、次の項目で説明します。
多数のクライアントが対話型のWebアプリケーションを実行していると、これらのセッションの多くはある時点でアイドル状態になることがあります。接続プーリング機能によって、データベース・サーバーはアイドル状態のセッションをタイムアウトにできるため、その接続をアクティブなセッションへのサービス提供に使用できます。アイドル状態のセッションは論理的には接続を維持したままで、次の要求がそのセッションから出されると物理的な接続は自動的に再確立されます。このため、Webアプリケーションでは多数の同時ユーザーを既存のハードウェアに適応させることができます。
図1-10は、接続プーリングがどのように動作するかを示しています。この例では、Oracle Databaseサーバーは255の接続で構成されています。クライアントの1つは、指定した時間アイドル状態になっています。接続プーリングでは、この接続を着信クライアント接続で使用可能にします。これは、256番目の接続になります。アイドル状態のクライアントに実行すべき作業がある場合、他のクライアントのアイドル状態の接続を使用して、接続がクライアントに対して再確立されます。
Oracle Net ServicesのコンポーネントであるOracle Connection Managerでは、データベースへのネットワーク接続を単一化することにより、複数のクライアント・ネットワーク・セッションを多重化、つまり集中化できます。
セッションの多重化機能は、サーバーが着信要求に使用するネットワーク接続のエンドポイントの数を少なくすることにより、2つのプロセス間で複数の接続を維持するために必要なリソースを削減します。これにより、サーバーが処理できるネットワーク・セッションの総数が増加します。1つのOracle Connection Managerを複数のゲートウェイで構成すると、数千のユーザーをサーバーに同時接続できます。
図1-11では、セッションの多重化のWebアーキテクチャにおける使用方法を示します。Oracle Connection ManagerがアプリケーションWebサーバーと同じコンピュータ上で実行されると、アプリケーションWebサーバーは、複数のクライアント・セッションをOracle Connection Managerからルーティングでき、これらのセッションは、継続的にOracle Databaseサーバーにアクセスできます。この機能は特に、セッションの可用性と応答時間が主要課題であるWebアプリケーションで利用価値があります。
表1-1では、接続プーリングとセッションの多重化の相違点をまとめ、ネットワーク内でそれらを使用するための推奨事項を示します。
表1-1 接続プーリングとセッションの多重化
| 機能 | メリット | デメリット | 推奨環境 |
|---|---|---|---|
|
接続プーリング |
|
データベース・セッションは、 |
メッセージ送信、OLAPなど、対話形式の評価/検索の時間頻度が高いアプリケーションを多数のクライアントで実行するようなネットワーク。 |
|
セッションの多重化 |
|
クライアントはOracle Connection Managerに接続する必要があります。 |
持続的接続が必要なネットワーク |
ユーザーにとってシステム・パフォーマンスは重要です。通常、システムの応答時間が1秒を超えると、ユーザーはパフォーマンスが気にかかるようになります。Oracle Netの構成を変更してシステム・パフォーマンスの向上を図ることができます。
この項では、パフォーマンスに関する考慮事項について説明します。内容は次のとおりです。
TCP/IPを介してリスニング・プロセス(リスナー、Oracle Connection Managerなど)に対する多数の接続要求を受信することが予想される場合は、Oracle Netを使用してシステム・デフォルトより高い値になるようにリスニング・キューを設定できます。
ネットワーク上にデータを送信する前にOracle Netはデータをバッファリングして、セッション・データ・ユニット(SDU)にカプセル化します。バッファが一杯になりフラッシュされるか、データベース・サーバーがデータを読み出そうとするとOracle Netはこのバッファに格納されているデータを送信します。大量のデータを転送する場合やメッセージのサイズが一貫している場合は、SDUバッファのサイズを調整することによって、パフォーマンス、ネットワークの使用率、メモリー消費を改善できます。SDUはクライアント、アプリケーションWebサーバーおよびデータベースにデプロイできます。
ネットワーク間の往復回数を減らすようにアプリケーションをチューニングすることは、ネットワーク・パフォーマンスを向上させる最も効果的な方法です。これを行った後、SDUのサイズを調整してデータ転送を最適化することもできます。
表1-2はSDUのサイズを変更する際の考慮事項についてまとめています。
表1-2 SDUの考慮事項
| SDUサイズの変更が適切な時期 | SDUサイズの変更が適切でない時期 |
|---|---|
|
|
|
注意: Oracle Database 11gでは、Oracle SecureFiles LOBやOracle Data Guard redo転送サービスなどの特定のコンポーネントに対して、Oracle Net Servicesのバルク・データ転送が最適化されています。ネットワーク・パラメータ・ファイルで指定されているSDUサイズ制限は、これらのバルク・データ転送には適用されません。 |
TCP/IPを使用するアプリケーションがいくつかある状況では、Oracle Netのパケットがネットワークにすぐに送出されません。この動作は大量のデータを送出するときに頻繁に実行されます。TCP/IPの実装自体がフラッシュの欠如が原因で許容範囲を超える遅延を引き起こすおそれがあります。この問題を修正するためにはバッファ・フラッシング・プロセスで遅延なしを指定します。
|
関連項目: TCP.NODELAYパラメータの詳細は、『Oracle Database Net Servicesリファレンス』 |
Oracle Net Servicesでは、InfiniBand高速ネットワークをサポートします。InfiniBandは、高帯域幅のI/Oアーキテクチャで、CPU、サーバー側のデバイスおよびネットワーク・サブシステム間の通信速度を上げるように設計されています。特にOracle Net Servicesは、Sockets Direct Protocol(SDP)をサポートしています。SDPは、InfiniBandネットワーク・ピア間の使用を目的とした業界標準のワイア・プロトコルです。
SDPを使用すると、データの中間的なレプリケーションが除去され、メッセージ交換の負荷がCPUからネットワーク・ハードウェアへ移動することにより、TCP/IPのオーバーヘッドが削減されます。その結果、待機時間の短縮、帯域幅の拡大、接続のスループットの向上につながり、ネットワーク処理に占有されるCPUサイクルが削減されます。
Oracle Application Serverやその他のサード・パーティの中間層クライアントを含めて、クライアント間の通信、およびOracle Database 11gは、高速相互接続の恩恵を受けています。Oracle Application Serverのインストールの一部としてOracle TCP/IPのサポートが含まれています。
Oracle Application Serverサーバーにインストールされたドライバが、TCP/IPサポートをSDPサポートに透過的に変換します。次に、SDP要求はInfiniBandスイッチに送信されます。このスイッチによって、要求が処理され、Oracle Application Serverサーバーからデータベース・サーバーに転送されます。
データ・アクセスとデータの安全な転送は、Oracle Databaseをデプロイする際の重要な考慮事項です。データベースへのアクセスの付与や制限は、安全なネットワーク環境を構築するために重要です。Oracle Net Servicesでは、ファイアウォール・アクセス制御を使用してデータベース・アクセス制御を実現しています。
Oracle Connection Managerは、特定のデータベース・サービスやコンピュータに対するクライアントのアクセス権限を付与したり、制限するように構成できます。フィルタリング・ルールを指定すれば、次の基準に基づいて、サーバーへの特定のクライアントのアクセスを可能にしたり、制限したりできます。
ソース・ホスト名またはクライアントのIPアドレス
接続先ホスト名またはサーバーのIPアドレス
接続先データベース・サービス名
Oracle Advanced Securityのクライアントの使用
図1-12では、3つのクライアントとOracle Databaseサーバーの間に位置するOracle Connection Managerを示します。最初の2つのクライアントにはアクセスを許可し、3番目のクライアントのアクセスは制限できるようにOracle Connection Managerを構成します。
図1-12 Oracle Connection Managerによるイントラネット・ネットワークのアクセス制御
Oracle Connection Managerは、サード・パーティのファイアウォール製品と統合できませんが、1つのアプリケーション・ゲートウェイとして機能するようにベンダー独自の製品とパッケージ化できます。
一般にファイアウォールは、着信要求を受け取るように、およびOracle Databaseからの発信コールを許可するように設定する必要があります。フィルタリング・ルールを定義することにより、ネットワークへのアクセスを制限できます。
|
注意: ファイアウォール・オプションの設定が正しくない場合、セキュリティの問題が発生する可能性があります。ファイアウォールの設定を変更する前に、オプションおよびネットワーク・サイトのポリシーについてシステム管理者に確認してください。 |
図1-13は、社内と社外のネットワーク間の通信量を制御し、アクセス制御および監査用に単一のチェックポイントを提供するアプリケーション・ゲートウェイを示しています。結果として、権限のないインターネット・ホストは社内のデータベースに直接アクセスできませんが、権限のあるユーザーは企業ネットワークの外部のインターネット・サービスを使用できます。この機能は、機密データへのリモート・アクセスを制限するために、インターネット環境では重要です。
1つのファイアウォールが停止した場合に備えて、Oracle Connection ManagerファイアウォールまたはOracle Netファイアウォール・プロキシをインターネット・ネットワーク環境に少なくとも2つデプロイすることが重要です。
接続機能、管理機能、拡張性およびセキュリティ機能について次の項目で説明します。
Oracle Netは、クライアントおよびOracle Databaseサーバー上に存在するソフトウェア・レイヤートです。クライアント・アプリケーションとサーバー間でのメッセージの交換に加え、業界標準のプロトコルを使用して、これらの間の接続を確立および維持します。Oracle Netには、次の2つのソフトウェア・コンポーネントがあります。
クライアント側でアプリケーションは、Oracle Net Foundationレイヤーと通信して接続を確立し、それを維持します。Oracle Net Foundationレイヤーは、TCP/IPなどの業界標準のネットワーク・プロトコルで通信できるOracle protocol supportを使用して、Oracle Databaseサーバーと通信します。
図1-14では、クライアントの通信スタックを示します。
図1-15で示すように、Oracle Databaseサーバー側は、クライアント側と同じです。ネットワーク・プロトコルによってクライアントの要求情報がOracle protocol supportレイヤーに送信されてから、Oracle Net Foundationレイヤーに送信されます。次に、Oracle Net FoundationレイヤーはOracle Databaseサーバーと通信して、クライアントの要求を処理します。
Oracle DatabaseサーバーはOracle Net Listenerを通じて初期接続を受け取ります。Oracle Net Listener(このマニュアルではリスナーと呼びます)は、クライアント要求を受け取ってサーバーに渡します。リスナーはプロトコル・アドレスで構成されており、同じプロトコル・アドレスで構成されたクライアントは、そのリスナーに接続要求を送信できます。接続が確立されると、クライアントとOracleサーバーは互いに直接通信します。
図1-16では、クライアントから接続要求を受け取り、Oracleサーバーにその要求を転送するリスナーを示します。
Oracle Connection Managerは、クライアント・サーバーやOracle Databaseサーバーとは別に、コンピュータに常駐するソフトウェア・コンポーネントです。Oracle Connection Managerでは、データベース・サーバーに対するリクエストがプロキシ化されて選別されます。さらに、データベース・セッションの多重化も行われます。
Oracle Connection Managerは、セッションの多重化によって、単一のトランスポート・プロトコル接続から特定の接続先に複数のセッションを集中化させます。これにより、Oracle Connection ManagerではOracle Databaseサーバーが着信要求に使用する接続エンドポイントの数を少なくできるため、2つのプロセス間で複数の接続を維持するために必要なリソースが削減されます。
Oracle Connection Managerは、アクセス制御フィルタとしてOracle Databaseへのアクセスを制御します。
Oracle Net Servicesは、ネットワークの構成、管理および監視を簡単に実行できるユーザー・インタフェースとコマンドライン・ユーティリティを提供します。
Oracle Net Configuration Assistantは、リスナーおよびネーミング・メソッドを構成できるスタンドアロン・ツールです。
Oracle Enterprise Managerでは、複数ファイル・システムでの構成機能とリスナーの管理機能を結合して、Oracle Net Servicesを構成、管理する機能を提供します。
Oracle Net Managerでは、ローカル・クライアントやサーバー・ホスト上のOracleホームを構成する機能を提供します。
また、コマンドライン制御ユーティリティによって、リスナーやOracle Connection Managerなどのネットワーク・コンポーネントを構成、管理および監視できます。
Oracle Enterprise ManagerやOracle Net Managerでは、Oracle Net Configuration Assistantで作成したリスナーやネーミング・メソッドの構成を細かく調整できます。さらに、Oracle Enterprise ManagerおよびOracle Net Managerは、組込みウィザードとユーティリティを提供し、これを使用して接続性をテストしたり、データを特定のネーミング・メソッドから別のネーミング・メソッドへ移行したり、さらに追加ネットワーク・コンポーネントを作成することが可能になります。
Oracle Advanced Securityは、Oracle環境における総合的なセキュリティ機能を提供するライセンス供与可能な製品です。このセキュリティ機能パッケージにより、企業ネットワークが保護され、安全にインターネットへ拡張できます。ネットワークの暗号化と認証のソリューション、シングル・サインオン・サービスおよびセキュリティ・プロトコルを統合する単一ソースを提供します。Oracle Advanced Securityは業界標準を組み入れ、Oracleネットワークおよび他のネットワークで最高のセキュリティを実現します。
Oracle Advanced SecurityにはOracle Data Redactionも含まれており、次のリダクション・タイプを使用して列データのリダクション(マスク)を行うことができます。
完全なリダクション: 列データのすべてのコンテンツをリダクションします。問合せを行ったユーザーに返される、リダクションされた値は、列のデータ型によって異なります。たとえば、デフォルトではNUMBERデータ型の列はゼロ(0)でリダクションされ、文字データ型は空白1つでリダクションされます。
部分的なリダクション: 列データの一部をリダクションします。たとえば、クレジット・カードの番号の大半(最後の4桁以外)をアスタリスク(*)でマスクするなどです。
正規表現を使用してリダクションするデータのパターンを検索できます。たとえば、正規表現を使用して、文字の長さが変化する可能性のある電子メール・アドレスをリダクションできます。これは、文字データのみで使用するように設計されています。
ランダム・リダクション: リダクションされたデータは、値が表示のたびにランダムに生成されて、問合せを行ったユーザーに表示されます。
リダクションなし: 管理者は、リダクション・ポリシーが定義された表に対する問合せの結果に影響を与えずに、リダクション・ポリシーの内部動作をテストできます。
|
関連項目: 『Oracle Database Advanced Security管理者ガイド』 |
