| Oracle Enterprise Manager Grid Controlアドバンスト・インストレーションおよび構成ガイド 11gリリース1(11.1.0.1.0) B61023-01 |
|
 戻る |
 次へ |
| Oracle Enterprise Manager Grid Controlアドバンスト・インストレーションおよび構成ガイド 11gリリース1(11.1.0.1.0) B61023-01 |
|
戻る |
次へ |
ファイアウォールは、各ネットワーク・パケットを調べ適切な処理を決定することでネットワーク通信量を制限し、それによって、企業の情報技術(IT)インフラストラクチャを保護します。
ファイアウォールの構成には通常、ファイアウォールの片側(インターネットなど)に有効なポートの制限が含まれます。HTTPなど、特定のポートを通過できる通信の種類を限定するように設定することもできます。クライアントが制限付きポートに接続を試行したり不適切なプロトコルを使用した場合、クライアントは即座にファイアウォールによって切断されます。特定のサーバーへのユーザー・アクセスを制限するために、ファイアウォールを企業内で使用することもできます。
Oracle Enterprise Managerコンポーネントはエンタープライズ全体の異なるホストにデプロイできます。これらのホストはファイアウォールによって分割されます。この章では、Enterprise Managerコンポーネント間の通信を可能にするファイアウォールの構成方法について説明します。
|
関連項目: ネットワークでGrid Controlコンポーネントを構成する方法の詳細は、Oracle Enterprise Manager管理ガイド |
この章では次のトピックについて説明します。
ファイアウォールの構成はEnterprise Managerのデプロイの最後に行います。ファイアウォールを構成する前に、Grid Controlコンソールにログインできることと、管理エージェントが稼働中でターゲットを監視していることを確認してください。
ファイアウォールがすでにインストールされている環境でEnterprise Managerをデプロイする場合は、全通信に対するデフォルトのEnterprise Manager通信ポートを開きます。このポートは、インストールおよび構成プロセスを終了し、Oracle Enterprise Manager 10g Grid Controlコンソールにログインできることと、Oracle Management Agentが稼働中でターゲットを監視していることを確認できるまで開いておきます。
Enterprise Managerのデフォルトの通信ポートは、インストール時に割り当てられます。デフォルトのポートを変更する場合は、必ずファイアウォール構成時の新規のポート割当てを使用してください。
|
関連項目: Oracle Management ServiceおよびOracle Management Agentのデフォルト・ポートの確認および変更の詳細は、Enterprise Manager管理ガイドを参照してください。 |
管理サービスのEnterprise Manager Framework Securityを有効にしている場合、その構成プロセスの最終ステップは、管理エージェントからのアップロードをセキュアなチャンネルのみに限定することです。そのステップを終了する前に、管理エージェントと管理リポジトリの間でHTTPおよびHTTPS通信の両方が可能となるようにファイアウォールを構成し、Enterprise Managerにログインできることとデータがリポジトリにアップロード中であることを確認するテストを行います。
両方のプロトコルが有効な状態で管理サービスと管理エージェントが通信できることを確認した後、セキュア・モードへの移行を終了し、必要に応じてファイアウォール構成を変更します。ファイアウォールを段階的に構成していくと、構成上の問題をより簡単に解決できます。
Enterprise Managerをファイアウォール保護環境下で動作するように設定する際の主な作業は、可能な場合はプロキシ・サーバーを利用すること、必要なポートのみをセキュアな通信で使用可能にすること、およびビジネスの運営に必要なデータのみがファイアウォールを通過するようにすることです。
次の項では、セキュアなファイアウォール保護環境においてEnterprise Managerで必要なポートおよびデータの種類について説明します。
Oracle Application Serverを管理する場合のファイアウォールの構成
図 19–1に、ファイアウォールを使用するEnterprise Managerグリッド環境のトポロジ、および使用可能なデフォルトのポートを示します。
上の図で使用している表記規則は次のとおりです。
表19-1 使用されている表記規則
| 規則 | 説明 |
|---|---|
|
C |
コールを行う実体。 |
|
* |
Enterprise Managerは、Enterprise Managerの設定範囲内の使用可能な最初のポートをデフォルトとして使用します。 |
|
** |
Enterprise Managerは、使用可能な最初のポートをデフォルトとして使用します。 |
|
*** |
データベースのリスナー・ポート。 |
|
注意:
|
ブラウザからOracle Enterprise Manager 10g Grid Controlコンソールへの接続は、Oracle HTTP Serverで使用されるデフォルト・ポート経由で実行されます。
たとえば、Oracle HTTP Serverのデフォルトの保護されていないポートは、通常、ポート7778です。次のURLおよびポートを使用してGrid Controlコンソールにアクセスする場合は、ポート7778経由のHTTP通信をGrid Controlコンソールが受信できるようにファイアウォールを構成する必要があります。
http://mgmthost.acme.com:7778/em
一方、Oracle HTTP Serverのセキュリティを有効にしている場合は、サーバーのデフォルトのセキュア・ポートを使用する場合がほとんどであり、これは通常、ポート4443です。次のURLおよびポートを使用してGrid Controlコンソールにアクセスする場合は、ポート4443経由のHTTPS通信をGrid Controlコンソールが受信できるようにファイアウォールを構成する必要があります。
https://mgmthost.acme.com:4443/em
|
関連項目: 『Oracle Application Serverセキュリティ・ガイド』 |
図19-2には、ブラウザと、管理サービスによってレンダリングされたGrid ControlコンソールのWebベース・コンソールの間にあるファイアウォールの標準的な構成が示されています。
管理エージェントがファイアウォールで保護されたホスト上にインストールされ、管理サービスがファイアウォールの反対側にある場合は、次の作業を実行する必要があります。
管理サービスへのアップロードにプロキシ・サーバーを使用するように管理エージェントを構成します。
管理エージェント・ポートの管理サービスからHTTP通信を受信できるようにファイアウォールを構成します。Enterprise Manager Framework Securityが有効化されているかどうかにかかわらず、デフォルトのポートは3872です。このデフォルト・ポートを使用できない場合は、デフォルト・ポート範囲1830〜1849が使用されます。通信を受信できるのは、管理エージェントに対応するポートがファイアウォールで開かれている場合のみです。
図19-4には、管理エージェントがファイアウォールで保護されている場合に設定する必要がある接続が示されています。
ファイアウォール外の管理サービスとの通信にプロキシ・サーバーを使用するように、またはファイアウォール外のターゲットを管理するように管理エージェントを構成できます。
テキスト・エディタを使用して、次の管理エージェント構成ファイルを開きます。
AGENT_HOME/sysman/config/emd.properties (UNIX) AGENT_HOME\sysman\config\emd.properties (Windows)
emd.propertiesファイル内の次のエントリを探します。
# If it is necessary to go through an http proxy server to get to the # repository, uncomment the following lines #REPOSITORY_PROXYHOST= #REPOSITORY_PROXYPORT=
プロキシ・サーバーの認証サポートを有効化するには、次の追加のプロパティを指定する必要があります。
#REPOSITORY_PROXYREALM= #REPOSITORY_PROXYUSER= #REPOSITORY_PROXYPWD=
各行の先頭でポンド記号(#)を削除し、次のように値を入力して、次のプロパティを編集します。
# If it is necessary to go through an http proxy server to get to the # repository, uncomment the following lines REPOSITORY_PROXYHOST=proxyhostname.domain REPOSITORY_PROXYPORT=proxy_port REPOSITORY_PROXYREALM=realm REPOSITORY_PROXYUSER=proxyuser REPOSITORY_PROXYPWD=proxypassword
次に例を示します。
REPOSITORY_PROXYHOST=proxy42.acme.com REPOSITORY_PROXYPORT=80 REPOSITORY_PROXYREALM= REPOSITORY_PROXYUSER= REPOSITORY_PROXYPWD=
変更を保存してemd.propertiesファイルを閉じます。
管理エージェントを停止してから起動します。
|
注意: プロキシ・パスワードは、管理エージェントを再起動する際に暗号化されます。 |
環境内の管理エージェントが管理対象ホストから管理サービスへデータをアップロードする一方で、管理サービスは管理エージェントと通信を行う必要もあります。このため、管理エージェントがファイアウォールで保護されている場合、管理サービスが管理エージェント・ポート上のファイアウォールを介して管理エージェントに接続できるようにします。
デフォルトでは、Enterprise Managerのインストール時にポート1830が管理エージェントに割り当てられます。ただし、そのポートが使用中の場合は別のポート番号が割り当てられる可能性があります。
|
関連項目: Oracle Management ServiceおよびOracle Management Agentのデフォルト・ポートの確認および変更の詳細は、Enterprise Manager管理ガイドを参照してください。 |
管理エージェントに割り当てるポート番号を決定した後、そのポートでHTTPまたはHTTPS(Enterprise Manager Framework Securityが有効か無効かによって変わる)通信を受信できるようにファイアウォールを構成する必要があります。
|
See Also: HTTPまたはHTTPS通信に対する特定のポートの開き方の詳細は、使用するファイアウォールのドキュメント |
管理サービスがファイアウォールで保護されたホスト上にインストールされ、管理データを提供する管理エージェントがファイアウォールの反対側にある場合は、次の作業を実行する必要があります。
管理エージェントへの通信にプロキシ・サーバーを使用するように管理サービスを構成します。
管理リポジトリ・アップロード・ポートの管理エージェントからHTTP通信を受信できるようにファイアウォールを構成します。
Enterprise Manager Framework Securityを有効にしている場合、アップロードURLではポート1159が使用されます。このポートを使用できない場合、Enterprise Managerでは、4898〜4989の範囲内で使用可能な最初のポートがデフォルトとして使用されます。Enterprise Manager Framework Securityを有効にしていない場合、アップロード・ポートは4889〜4897の範囲内で使用可能な最初のポートになります。
図19-6には、管理エージェントがファイアウォールで保護されている場合に設定する必要がある接続が示されています。
この項では、ファイアウォール外の管理エージェントとの通信にプロキシ・サーバーを使用するように管理サービスを構成する方法について説明します。
プロキシ・サーバーを使用するために管理サービスを構成するには、次のようにします。
次のコマンドを使用して、プロパティを設定します。
OMS_Home/bin/emctl set property -name <property name> -value <property value>
管理サービスを停止してから起動します。
$PROMPT> ORACLE_HOME/bin/emctl stop oms $PROMPT> ORACLE_HOME/bin/emctl start oms
プロキシ・サーバーを使用するために管理サービスを構成する際、プロキシが使用されない特定のURLドメインを指定するdontProxyForプロパティの目的を理解することが重要です。
たとえば、次のような状況を想定します。
企業のファイアウォール内のホスト上に管理サービスおよびいくつかの管理エージェントをインストールしています。これらのホストは.acme.comおよび.acme.us.comドメインの内部にあります。
ファイアウォール外のホスト上にいくつかの追加管理エージェントをインストールしています。これらのホストは.acme.ukドメイン内にインストールされています。
OracleMetaLinkインターネット・サイト上の重要なソフトウェア・パッチを自動的にチェックするようにEnterprise Managerを構成しています。
このケースでは、プロキシ・サーバーを使用せずに、管理サービスを直接ファイアウォール内の管理エージェントに接続します。その一方で、ファイアウォール外の管理エージェントおよびOracleMetaLinkインターネット・サイト(次のURLを参照)には、プロキシ・サーバーを使用して管理サービスを接続します。
http://metalink.oracle.com
次のプロパティを指定すると、管理サービスはファイアウォール内の管理エージェントへの接続にプロキシ・サーバーを使用しません。OracleMetaLinkおよびファイアウォール外の管理エージェントへの接続は、プロキシ・サーバーを経由して行われます。
proxyHost=proxy42.acme.com proxyHost=80 dontProxyFor=.acme.com, .acme.us.com
環境内の管理エージェントが管理対象ホスト上の管理エージェントへ接続する必要がある一方で、管理サービスが管理エージェントからのアップロード・データを受信できる必要もあります。管理サービスがファイアウォールの内側にある場合、管理エージェントがアップロード・ポート上でデータをアップロードできるようにファイアウォールを構成する必要があります。
デフォルトでは、Enterprise Managerのインストール時にポート4889がリポジトリのアップロード・ポートとして割り当てられます。ただし、そのポートが使用中の場合は別のポート番号が割り当てられます。
また、Enterprise Manager Framework Securityを有効にすると、アップロード・ポートは自動的にセキュアな1159 HTTPSポートに変更されます。
管理者はインストール後にアップロード・ポートを変更することもできます。
|
関連項目: Oracle Management ServiceおよびOracle Management Agentのデフォルト・ポートの確認および変更の詳細は、Enterprise Manager管理ガイドを参照してください。 |
管理サービスのアップロード・ポートに割り当てるポート番号を決定した後、そのポートでHTTPまたはHTTPS(Enterprise Manager Framework Securityが有効か無効かによって変わる)通信を受信できるようにファイアウォールを構成する必要があります。
|
関連項目: HTTPまたはHTTPS通信に対する特定のポートの開き方の詳細は、使用するファイアウォールのドキュメント |
管理サービスと管理リポジトリの間のセキュアな接続はOracle Advanced Securityの機能を使用して実行されます。このため、管理サービスと管理リポジトリがファイアウォールで分割されている場合は、Oracle Netのファイアウォール・プロキシ・アクセスを使用できるようにファイアウォールを構成する必要があります。
|
関連項目: 『Oracle Database Advanced Security管理者ガイド』のSecure Sockets Layer認証の構成に関する項 |
図19-8には、管理サービスと管理リポジトリの間にあるファイアウォールの標準的な構成が示されています。
Grid Controlコンソールを使用してデータベースを管理している場合、特定の監視および管理タスクを実行するには、Grid Controlコンソールからデータベースにログインする必要があります。ファイアウォールの反対側のデータベースにログインする場合は、Oracle Netのファイアウォール・プロキシ・アクセスを使用できるようにファイアウォールを構成する必要があります。
特に、管理対象データベースで管理アクティビティを実行する場合は、Oracle Management ServiceがOracleリスナー・ポート経由でデータベースと通信するようにファイアウォールが構成されている必要があります。
リスナー・ポートは、Grid Controlコンソールのリスナー・ホームページを参照して取得できます。
|
関連項目: 『Oracle Database Advanced Security管理者ガイド』 |
図19-9には、管理サービスと管理リポジトリの間にあるファイアウォールの標準的な構成が示されています。
図19-10 Grid Controlと管理対象データベース・ターゲットの間のファイアウォール
Enterprise Managerでは、共通の管理リポジトリと通信する複数の管理サービスの使用がサポートされています。たとえば、複数の管理サービスを使用すると、E-Businessエンタープライズの成長に伴い集中管理機能を拡大していく場合のロード・バランシングに役立ちます。
ファイアウォールで保護された環境で複数の管理サービスをデプロイするときは、次のことに注意してください。
各管理エージェントは、1つの管理サービスにデータをアップロードするように構成されています。このため、管理エージェントとその管理サービスの間にファイアウォールがある場合、管理エージェントがアップロードURLを使用して管理サービスにデータをアップロードできるように、ファイアウォールを構成する必要があります。
また、管理エージェントの可用性のチェックのため、各管理サービスがエンタープライズ内のあらゆる管理エージェントに接続できるようにします。このため、デプロイする各管理サービスがHTTPまたはHTTPS経由でエンタープライズ内のあらゆる管理エージェントと通信できるように、ファイアウォールを構成する必要があります。
そうでない場合、特定の管理エージェントへアクセスしない管理サービスは、管理エージェントが実行中かどうかについて正しくない情報をレポートする可能性があります。
|
関連項目: Enterprise Managerによるホストおよび管理エージェントの可用性の決定方法の詳細は、Enterprise Managerオンライン・ヘルプの可用性に関する項 |
Oracleビーコンにより、アプリケーションのパフォーマンス可用性およびパフォーマンス監視が提供されます。これらはEnterprise Managerのサービス・レベル管理機能の一部です。
|
関連項目: Enterprise Managerのオンライン・ヘルプのサービス・レベル管理に関する項 |
Enterprise Managerでは、業界標準のInternet Control Message Protocol(ICMP)およびユーザー・データグラム・プロトコル(UDP)を使用して、ビーコンと監視対象のネットワーク・コンポーネントの間のデータ転送を行います。Webアプリケーション・コンポーネントとそのコンポーネントを監視するために使用しているビーコンが、ファイアウォールによって分割される場合があります。このようなケースでは、ICMP通信、UDP通信およびHTTP通信ができるようにファイアウォールを構成する必要があります。
管理サービスは、ICMPエコー・リクエストを使用してマシンのステータスを確認します。ICMPエコー・リクエストがファイアウォールによりブロックされると、マシンが停止しているように見えます。環境内のマシンのステータスを判別するには、ファイアウォールでICMPエコー・リクエストを有効にする必要があります。ICMPエコー・リクエストが有効になっている場合、管理サービスからpingコマンドを発行して、マシンのステータスを確認できます。
Oracle Application Serverのインスタンスの管理にGrid Controlを使用している場合、構成によっては、ファイアウォールを通過してアクセスするには他のポートを使用する必要があります。
たとえば、Grid ControlコンソールからOracle Application Serverインスタンスのパフォーマンスを監視している場合、アプリケーション・サーバー・ホームページの「管理」をクリックすると、Application Server Controlコンソールが表示されます。監視しているFusion Middlewareターゲットが、ファイアウォールによってGrid Controlコンソールから遮断されている場合、Application Server Controlコンソール・ポート(通常は1810)を介したHTTP接続またはHTTPS接続が可能になるようにファイアウォールを構成する必要があります。
|
関連項目: Oracle Application Serverのポートの構成の詳細は、『Oracle Application Server管理者ガイド』 |
この章のこれまでの項で記述されているとおり、ファイアウォールを構成する前にOracle Enterprise Manager 11gの各コンポーネントで使用されているポートを理解し認識することが重要です。
Oracle Enterprise Manager 11g Grid Controlをインストールする際、次のいずれかの方法で、アプリケーション・サーバーのインストール時に割り当てられたポートのリストを確認できます。
OMS_Home/bin/emctl status oms -details [-sysman_pwd <pwd>]コマンドの実行
<EM_Instance_Home>/emgc.propertiesファイルの確認
セキュア・エージェント・インストールでは、管理エージェント・マシンで次のコマンドを実行することにより、Windows XPでHTTPまたはHTTPS通信に対するファイアウォール設定が無効になっていることを確認します。
「スタート」→「コントロール パネル」を選択します。
「コントロール パネル」で、「Windowsファイアウォール」をクリックします。
「Windowsファイアウォール」ダイアログ・ボックスの「例外」タブで、「ポートの追加」をクリックします。
「ポートの追加」ダイアログ・ボックスで、エージェント・ポートの名前および番号を指定します。
「スコープの変更」をクリックして、ポートがブロック解除されているコンピュータを指定します。
