Oracle Enterprise Manager アドバンスト構成 10gリリース5(10.2.0.5.0) B53907-01 |
|
ファイアウォールは、各ネットワーク・パケットを調べ適切な処理を決定することでネットワーク通信量を制限し、それによって、企業の情報技術(IT)インフラストラクチャを保護します。
ファイアウォールの構成には通常、ファイアウォールの片側(インターネットなど)に有効なポートの制限が含まれます。HTTPなど、特定のポートを通過できる通信の種類を限定するように設定することもできます。クライアントが制限付きポートに接続を試行したり不適切なプロトコルを使用した場合、クライアントは即座にファイアウォールによって切断されます。特定のサーバーへのユーザー・アクセスを制限するために、ファイアウォールを企業内で使用することもできます。
Oracle Enterprise Managerコンポーネントはエンタープライズ全体の異なるホストにデプロイできます。これらのホストはファイアウォールによって分割されます。この章では、Enterprise Managerコンポーネント間の通信を可能にするファイアウォールの構成方法について説明します。
この章では次のトピックについて説明します。
ファイアウォールの構成はEnterprise Managerのデプロイの最後に行います。ファイアウォールを構成する前に、Grid Controlコンソールにログインできることと管理エージェントが稼働中でターゲットを監視していることを確認してください。
ファイアウォールがすでにインストールされている環境でEnterprise Managerをデプロイする場合は、全通信に対するデフォルトのEnterprise Manager通信ポートを開きます。このポートは、インストールおよび構成プロセスを終了し、Oracle Enterprise Manager 10g Grid Controlコンソールにログインできることと、Oracle Management Agentが稼働中でターゲットを監視していることを確認できるまで開いておきます。
Enterprise Managerのデフォルトの通信ポートはインストール時に割り当てられます。デフォルトのポートを変更する場合は、必ずファイアウォール構成時の新規のポート割当てを使用してください。
関連項目
Oracle Management ServiceおよびOracle Management Agentに対するデフォルト・ポートの検索および変更の詳細は、第12章「管理エージェントと管理サービスの再構成」 |
管理サービスについてEnterprise Manager Framework Securityを有効にしている場合、その構成プロセスの最終ステップは、管理エージェントからのアップロードをセキュアなチャンネルのみに限定することです。そのステップを終了する前に、管理エージェントと管理リポジトリの間でHTTPおよびHTTPS通信の両方が可能となるようにファイアウォールを構成し、Enterprise Managerにログインできることとデータがリポジトリにアップロード中であることを確認するテストを行います。
両方のプロトコルが有効な状態で管理サービスと管理エージェントが通信できることを確認した後、セキュア・モードへの移行を終了し、必要に応じてファイアウォール構成を変更します。ファイアウォールを段階的に構成していくと、構成上の問題をより簡単に解決できます。
Enterprise Managerをファイアウォール保護環境下で動作するように設定する際の主な作業は、可能な場合はプロキシ・サーバーを利用すること、必要なポートのみをセキュアな通信で使用可能にすること、およびビジネスの運営に必要なデータのみがファイアウォールを通過するようにすることです。
次の項では、セキュアなファイアウォール保護環境においてEnterprise Managerで必要なポートおよびデータの種類について説明します。
図6-1に、ファイアウォールを使用するEnterprise Managerグリッド環境のトポロジ、および使用可能なデフォルトのポートを示します。
上の図で使用している表記規則は次のとおりです。
規則 | 説明 |
---|---|
C |
コールを行う実体。 |
* |
Enterprise Managerは、Enterprise Managerの設定範囲内の使用可能な最初のポートをデフォルトとして使用します。 |
** |
Enterprise Managerは、使用可能な最初のポートをデフォルトとして使用します。 |
*** |
データベースのリスナー・ポート。 |
ブラウザからOracle Enterprise Manager 10g Grid Controlコンソールへの接続は、Oracle HTTP Serverで使用されるデフォルト・ポート経由で実行されます。
たとえば、Oracle HTTP Serverのデフォルトの保護されていないポートは、通常、ポート
7778です。次のURLおよびポートを使用してGrid Controlコンソールにアクセスする場合は、ポート7778経由のHTTP通信をGrid Controlコンソールが受信できるようにファイアウォールを構成する必要があります。
http://mgmthost.acme.com:7778/em
一方、Oracle HTTP Serverのセキュリティを有効にしている場合は、サーバーのデフォルトのセキュア・ポートを使用する場合がほとんどであり、これは通常、ポート4443です。次のURLおよびポートを使用してGrid Controlコンソールにアクセスする場合は、ポート4443経由のHTTP通信をGrid Controlコンソールが受信できるようにファイアウォールを構成する必要があります。
https://mgmthost.acme.com:4443/em
図6-2には、ブラウザと、管理サービスによってレンダリングされたGrid ControlコンソールのWebベース・コンソールの間にあるファイアウォールの標準的な構成が示されています。
管理エージェントがファイアウォールで保護されたホスト上にインストールされ、管理サービスがファイアウォールの反対側にある場合は、次の作業を実行する必要があります。
図6-3には、管理エージェントがファイアウォールで保護されている場合に設定する必要がある接続が示されています。
ファイアウォール外の管理サービスとの通信にプロキシ・サーバーを使用するように、またはファイアウォール外のターゲットを管理するように管理エージェントを構成します。
AGENT_HOME/sysman/config/emd.properties (UNIX) AGENT_HOME¥sysman¥config¥emd.properties (Windows)
emd.properties
ファイル内の次のエントリを探します。
# If it is necessary to go through an http proxy server to get to the # repository, uncomment the following lines #REPOSITORY_PROXYHOST= #REPOSITORY_PROXYPORT=
#REPOSITORY_PROXYREALM= #REPOSITORY_PROXYUSER= #REPOSITORY_PROXYPWD=
# If it is necessary to go through an http proxy server to get to the # repository, uncomment the following lines REPOSITORY_PROXYHOST=proxyhostname.domain REPOSITORY_PROXYPORT=proxy_port REPOSITORY_PROXYREALM=realm REPOSITORY_PROXYUSER=proxyuser REPOSITORY_PROXYPWD=proxypassword
次に例を示します。
REPOSITORY_PROXYHOST=proxy42.acme.com REPOSITORY_PROXYPORT=80 REPOSITORY_PROXYREALM= REPOSITORY_PROXYUSER= REPOSITORY_PROXYPWD=
emd.properties
ファイルを閉じます。
環境内の管理エージェントが管理対象ホストから管理サービスへデータをアップロードする一方で、管理サービスは管理エージェントと通信を行う必要もあります。このため、管理エージェントがファイアウォールで保護されている場合、管理サービスが管理エージェント・ポート上のファイアウォールを介して管理エージェントに接続できるようにします。
デフォルトでは、Enterprise Managerのインストール時にポート1830が管理エージェントに割り当てられます。ただし、そのポートが使用中の場合は別のポート番号が割り当てられる可能性があります。
注意: 管理エージェントのポート番号はEnterprise Manager Framework Securityを有効にしても変更されません。詳細は、「Grid Controlのセキュリティの構成」を参照してください。 |
また、管理者はインストール後に管理エージェント・ポートを変更することもできます。
関連項目
"Oracle Management ServiceおよびOracle Management Agentに対するデフォルト・ポートの検索および変更の詳細は、第12章「管理エージェントと管理サービスの再構成」 |
管理エージェントに割り当てるポート番号を決定した後、そのポートでHTTPまたはHTTPS(Enterprise Manager Framework Securityが有効か無効かによって変わる)通信を受信できるようにファイアウォールを構成する必要があります。
関連項目
HTTPまたはHTTPS通信に対する特定のポートの開き方の詳細は、使用するファイアウォールのドキュメント Enterprise Manager Framework Securityの詳細は「Grid Controlのセキュリティの構成」 |
管理サービスがファイアウォールで保護されたホスト上にインストールされ、管理データを提供する管理エージェントがファイアウォールの反対側にある場合は、次の作業を実行する必要があります。
Enterprise Manager Framework Securityを有効にしている場合、アップロードURLではポート1159が使用されます。このポートを使用できない場合、Enterprise Managerでは、4898〜4989の範囲内で使用可能な最初のポートがデフォルトとして使用されます。Enterprise Manager Framework Securityを有効にしていない場合、アップロード・ポートは4889〜4897の範囲内で使用可能な最初のポートになります。
図6-4には、管理サービスがファイアウォールで保護されている場合に設定する必要がある接続が示されています。
この項では、ファイアウォール外の管理エージェントとの通信にプロキシ・サーバーを使用するように管理サービスを構成する方法を説明します。
プロキシ・サーバーを使用するために管理サービスを構成するには、次のようにします。
ORACLE_HOME/sysman/config/emoms.properties
emoms.properties
ファイルに次のエントリを追加します。
proxyHost=proxyhost.domain proxyPort=proxy_port dontProxyFor=.domain1, .domain2, .domain3, ... proxyRealm=realm proxyUser=proxyuser proxyPwd=proxypassword
次に例を示します。
proxyHost=proxy42.acme.com proxyHost=80 dontProxyFor=.acme.com, .acme.us.com proxyRealm proxyUser proxyPwd
dontProxyFor
プロパティは、プロキシが使用されない特定のURLドメインを指定します。proxyRealm
プロパティは、認証が必要な保護領域を示します。
emoms.properties
ファイルを閉じます。
$PROMPT> ORACLE_HOME/bin/emctl stop oms $PROMPT> ORACLE_HOME/bin/emctl start oms
プロキシ・サーバーを使用するために管理サービスを構成する際、プロキシが使用されない特定のURLドメインを指定するdontProxyFor
プロパティの目的を理解することが重要です。
たとえば、次のような状況を想定します。
.acme.com
および.acme.us.com
ドメインの内部にあります。
.acme.uk
ドメイン内にインストールされています。
このケースでは、管理サービスを、プロキシ・サーバーを使用せずに直接ファイアウォール内の管理エージェントに接続する場合があります。その一方、ファイアウォール外の管理エージェントおよびOracleMetaLinkインターネット・サイト(次のURLを参照)には、プロキシ・サーバーを使用して管理サービスを接続する場合があります。
http://metalink.oracle.com
emoms.properties
ファイルの次のエントリにより、管理サービスはファイアウォール内の管理エージェントへの接続にプロキシ・サーバーを使用しません。OracleMetaLinkおよびファイアウォール外の管理エージェントへの接続はプロキシ・サーバーを経由して行われます。
proxyHost=proxy42.acme.com proxyHost=80 dontProxyFor=.acme.com, .acme.us.com
環境内の管理エージェントが管理対象ホスト上の管理エージェントへ接続する必要がある一方で、管理サービスが管理エージェントからのアップロード・データを受信できる必要もあります。管理サービスがファイアウォールの内側にある場合、管理エージェントがアップロード・ポート上でデータをアップロードできるようにファイアウォールを構成します。
デフォルトでは、Enterprise Managerのインストール時にポート4889がリポジトリのアップロード・ポートとして割り当てられます。ただし、そのポートが使用中の場合は別のポート番号が割り当てられます。
また、Enterprise Manager Framework Securityを有効にすると、アップロード・ポートは自動的にセキュアな1159 HTTPSポートに変更されます。
管理者はインストール後にアップロード・ポートを変更することもできます。
関連項目
Oracle Management ServiceおよびOracle Management Agentに対するデフォルト・ポートの検索および変更の詳細は、第12章「管理エージェントと管理サービスの再構成」 |
管理サービスのアップロード・ポートに割り当てるポート番号を決定した後、そのポートでHTTPまたはHTTPS(Enterprise Manager Framework Securityが有効か無効かによって変わる)通信を受信できるようにファイアウォールを構成する必要があります。
管理サービスと管理リポジトリの間のセキュアな接続はOracle Advanced Securityの機能を使用して実行されます。このため、管理サービスと管理リポジトリがファイアウォールで分割されている場合は、Oracle Netのファイアウォール・プロキシ・アクセスを使用できるようにファイアウォールを構成する必要があります。
図6-5には、管理サービスと管理リポジトリの間にあるファイアウォールの標準的な構成が示されています。
Grid Controlコンソールを使用してデータベースを管理している場合、特定の監視および管理タスクを実行するにはGrid Controlコンソールからデータベースにログインする必要があります。ファイアウォールの反対側のデータベースにログインする場合は、Oracle Netのファイアウォール・プロキシ・アクセスを使用できるようにファイアウォールを構成する必要があります。
特に、管理対象データベースで管理アクティビティを実行する場合は、Oracle Management ServiceがOracleリスナー・ポート経由でデータベースと通信するようにファイアウォールが構成されている必要があります。
リスナー・ポートはGrid Controlコンソールのリスナー・ホームページを参照して取得できます。
図6-6には、Grid Controlと管理リポジトリの間にあるファイアウォールの標準的な構成が示されています。
Enterprise Managerでは共通の管理リポジトリと通信する複数の管理サービスの使用がサポートされています。たとえば、複数の管理サービスを使用すると、E-Businessエンタープライズの成長に伴い集中管理機能を拡大していく場合のロード・バランシングに役立ちます。
ファイアウォールで保護された環境で複数の管理サービスをデプロイするときは、次のことに注意してください。
そうでない場合、特定の管理エージェントへアクセスしない管理サービスは、管理エージェントが実行中かどうかについて正しくない情報をレポートする可能性があります。
Oracleビーコンにより、アプリケーションのパフォーマンス可用性およびパフォーマンス監視が提供されます。これらはEnterprise Managerのサービス・レベル管理機能の一部です。
Enterprise Managerでは、業界標準のInternet Control Message Protocol(ICMP)およびユーザー・データグラム・プロトコル(UDP)を使用して、ビーコンと監視対象のネットワーク・コンポーネントの間のデータ転送を行います。Webアプリケーション・コンポーネントとそのコンポーネントを監視するために使用しているビーコンが、ファイアウォールによって分割される場合があります。このようなケースでは、ICMP通信、UDP通信およびHTTP通信ができるようにファイアウォールを構成する必要があります。
Oracle Application Serverのインスタンスの管理にGrid Controlを使用している場合、構成によっては、ファイアウォールを通過してアクセスするには他のポートを使用する必要があります。
たとえば、Grid ControlコンソールからOracle Application Serverインスタンスのパフォーマンスを監視している場合、Application Serverホームページの「管理」をクリックしてApplication Server Controlコンソールを表示します。監視しているOracle Application Serverターゲットが、ファイアウォールによってGrid Controlコンソールから遮断されている場合、Application Server Controlコンソール・ポート(通常1810)を介したHTTP接続またはHTTPS接続を可能にするには、ファイアウォールを構成する必要があります。
この章のこれまでの項で記述されているとおり、ファイアウォールを構成する前にOracle Enterprise Manager 10gの各コンポーネントで使用されているポートを理解し認識することが重要です。
Oracle Application Server 10gまたはOracle Enterprise Manager 10g Grid Controlをインストールする際、次のファイルの内容を表示することによってアプリケーション・サーバーのインストール時に割り当てられたポートのリストを参照できます。
ORACLE_HOME/install/portlist.ini
また、Application Server Controlコンソールを使用してアプリケーション・サーバーで使用中のすべてのポートのリストを表示することもできます。
セキュアなエージェントのインストールのため、Windows XPでHTTPまたはHTTPS通信に対するファイアウォール設定が無効になっていることを確認します。
|
![]() Copyright © 2003, 2009 Oracle Corporation. All Rights Reserved. |
|