Oracle® Enterprise Manager Cloud Controlアドバンスト・インストレーションおよび構成ガイド 12cリリース1 (12.1.0.1) B65085-03 |
|
前 |
次 |
ファイアウォールは、各ネットワーク・パケットを調べ適切な処理を決定することでネットワーク通信量を制限し、それによって、企業の情報技術(IT)インフラストラクチャを保護します。
ファイアウォールの構成には通常、ファイアウォールの片側(インターネットなど)に有効なポートの制限が含まれます。HTTPなど、特定のポートを通過できる通信の種類を限定するように設定することもできます。クライアントが制限付きポート(セキュリティ・ルールの対象外のポート)に接続を試行したり、不適切なプロトコルを使用すると、クライアントは即座にファイアウォールによって切断されます。特定のサーバーへのユーザー・アクセスを制限するために、ファイアウォールを企業のイントラネット内で使用することもできます。
Oracle Enterprise Managerコンポーネントはエンタープライズ全体の異なるホストにデプロイできます。これらのホストはファイアウォールによって分割されます。この章では、Enterprise Managerコンポーネント間の通信を可能にするファイアウォールの構成方法について説明します。
この章の内容は次のとおりです。
ファイアウォールの構成はEnterprise Managerのデプロイの最後に行います。ファイアウォールを構成する前に、Cloud Controlコンソールにログインできることと、管理エージェントが稼働中でターゲットを監視していることを確認してください。
ファイアウォールがすでにインストールされている環境でEnterprise Managerをデプロイする場合は、インストールおよび構成プロセスを終了してCloud Controlコンソールにログインできることと、管理エージェントが稼働中でターゲットを監視していることを確認できるまで、全通信に対するデフォルトのEnterprise Manager通信ポートを開いておきます。
Enterprise Managerのデフォルトの通信ポートは、インストール時に割り当てられます。デフォルトのポートを変更する場合は、必ずファイアウォール構成時の新規のポート割当てを使用してください。
Oracle Management ServiceのEnterprise Manager Framework Securityを有効にしている場合、その構成プロセスの最終ステップは、管理エージェントからのアップロードをセキュアなチャンネルのみに限定することです。そのステップを終了する前に、管理エージェントと管理リポジトリの間でHTTPおよびHTTPS通信の両方が可能となるようにファイアウォールを構成し、Enterprise Managerにログインできることとデータがリポジトリにアップロード中であることを確認するテストを行います。
両方のプロトコルが有効な状態でOracle Management Serviceと管理エージェントが通信できることを確認した後、セキュア・モードへの移行を終了し、必要に応じてファイアウォール構成を変更します。ファイアウォールを段階的に構成していくと、構成上の問題をより簡単に解決できます。
Oracle Management Serviceは、Internet Control Message Protocol (ICMP)エコー・リクエストを使用してターゲット・ホスト・マシンのステータスを確認します。ICMPエコー・リクエストがファイアウォールによりブロックされると、ホスト・マシンが停止しているように見えます。
環境内のマシンのステータスを判別するには、ファイアウォールでICMPエコー・リクエストを有効にする必要があります。ICMPエコー・リクエストが有効になっている場合、Oracle Management Serviceからping
コマンドを発行して、マシンのステータスを確認できます。
デフォルトでは、ポート7がICMPエコー・リクエストに使用されます。
この章のこれまでの項で記述されているとおり、ファイアウォールを構成する前にEnterprise Managerの各コンポーネントで使用されているポートを理解し認識することが重要です。
実際のインストールが開始される直前に表示されるEnterprise Manager Cloud Controlのインストーラの最後のパネルには、インストール中に割り当てられるすべてのポートが一覧表示されます。
これらの値は、インストール後に、OMSホスト上の次の場所にあるstaticports.ini
ファイルで確認できます。
MIDDLEWARE_HOME
/.gcinstall_temp/staticports.ini
Cloud ControlでOracle Management ServiceのOracleホーム・ターゲットを表示することで、ミドルウェア・ホームの値を取得できます。
表12-1は、ファイアウォールを介してアクセスする必要のあるEnterprise Managerの各種コンポーネントに割り当てられるデフォルト・ポートまたはポート範囲(あるいはその両方)を示しています。これらのコンポーネントには、Enterprise Managerインストールが属するWebLogicドメインの一部として作成されるWebLogic Serverコンポーネント、JVM診断やアプリケーションの依存性とパフォーマンスなどのオプションのコンポーネントなどが含まれます。
表12-1 Enterprise Managerコンポーネントのデフォルト・ポートおよびポート範囲
ポート | デフォルト値 |
---|---|
Enterprise ManagerアップロードHTTPポート |
4889 - 4898 |
Enterprise ManagerアップロードHTTP (SSL)ポート |
1159, 4899 - 4908 |
管理エージェント・ポート |
3872 |
管理リポジトリ・データベース・ポート |
1521 |
Cloud ControlコンソールHTTPポート |
7788 - 7798 |
Cloud ControlコンソールHTTP (SSL)ポート |
7799 -7809 |
EMドメインのWebLogic管理サーバーHTTPポート |
7001 |
EMドメインのWebLogic管理サーバーHTTP (SSL)ポート |
7101 - 7200 |
Cloud Control管理対象サーバーHTTPポート |
7201 - 7300 |
Cloud Control管理対象サーバーHTTP (SSL)ポート |
7301 - 7400 |
WebLogicノード・マネージャHTTPS (SSL)ポート |
7401 - 7500 |
JVM診断管理対象サーバー |
3800 |
JVM診断管理対象サーバー(SSL) |
3801 |
アプリケーションの依存性とパフォーマンスのRMIレジストリ・ポート |
51099 |
アプリケーションの依存性とパフォーマンスのJavaプロバイダ・ポート |
5503 |
アプリケーションの依存性とパフォーマンスのリモート・サービス・コントローラ・ポート |
55000 |
Enterprise Managerをファイアウォール保護環境下で動作するように設定する際の主な作業は、可能な場合はプロキシ・サーバーを利用すること、必要なポートのみをセキュアな通信で使用可能にすること、およびビジネスの運営に必要なデータのみがファイアウォールを通過するようにすることです。
図12-1に、ファイアウォールを使用するEnterprise Managerグリッド環境のトポロジ、および使用可能なデフォルトのポートを示します。
上の図で使用している表記規則は次のとおりです。
表12-1 図で使用されている表記規則
規則 | 説明 |
---|---|
C |
コールを行う実体。 |
* |
Enterprise Managerは、Enterprise Managerの設定範囲内の使用可能な最初のポートをデフォルトとして使用します。 |
** |
Enterprise Managerは、使用可能な最初のポートをデフォルトとして使用します。 |
*** |
データベース・リスナー・ポート。 |
注意:
|
次の項では、セキュアなファイアウォール保護環境においてEnterprise Managerで必要なポートおよびデータの種類について説明します。
ブラウザからCloud Controlコンソールへの接続は、Oracle HTTP Serverで使用されるデフォルト・ポート経由で実行されます。
たとえば、Oracle HTTP Serverのデフォルトの保護されていないポートは、通常、ポート7788です。次のURLおよびポートを使用してCloud Controlコンソールにアクセスする場合は、ポート7778経由のHTTP通信をCloud Controlコンソールが受信できるようにファイアウォールを構成する必要があります。
http://omshost.example.com:7788/em
一方、Oracle HTTP Serverのセキュリティを有効にしている場合は、サーバーのデフォルトのセキュア・ポートを使用する場合がほとんどであり、これは通常、ポート7799です。次のURLおよびポートを使用してCloud Controlコンソールにアクセスする場合は、ポート7799経由のHTTPS通信をCloud Controlコンソールが受信できるようにファイアウォールを構成する必要があります。
https://omshost.example.com:7799/em
管理エージェントがファイアウォールで保護されたホスト上にインストールされ、Oracle Management Serviceがファイアウォールの反対側にある場合は、次の作業を実行する必要があります。
Oracle Management Serviceへのアップロードにプロキシ・サーバーを使用するように管理エージェントを構成します。
管理エージェント・ポートのOracle Management ServiceからHTTP通信を受信できるようにファイアウォールを構成します。Enterprise Manager Framework Securityが有効化されているかどうかにかかわらず、デフォルトのポートは3872です。通信を受信できるのは、管理エージェントに対応するポートがファイアウォールで開かれている場合のみです。
図12-2には、管理エージェントがファイアウォールで保護されている場合に設定する必要がある接続が示されています。
ファイアウォール外のOracle Management Serviceとの通信にプロキシ・サーバーを使用するように、またはファイアウォール外のターゲットを管理するように管理エージェントを構成できます。
「設定」メニューから「エージェント」を選択します。
「管理エージェント」表の「名前」列で、構成するエージェントをクリックします。管理エージェントのターゲット・ホームページが開きます。
「エージェント」メニューから「プロパティ」を選択します。
プルダウン・メニューから「拡張プロパティ」を選択します。
proxyHost
およびproxyPort
プロパティの正しい値を指定します。
「適用」をクリックします(変更はAGENT_HOME
/sysman/config/emd.properties
ファイルに保存されます)。
注意: プロキシ・パスワードは、管理エージェントを再起動する際に暗号化されます。 |
環境内の管理エージェントが管理対象ホストからOracle Management Serviceへデータをアップロードする必要がある一方で、Oracle Management Serviceは管理エージェントと通信を行う必要もあります。このため、管理エージェントがファイアウォールで保護されている場合、Oracle Management Serviceが管理エージェント・ポート上のファイアウォールを介して管理エージェントに接続できるようにします。
デフォルトでは、Enterprise Managerのインストール時にポート3872が管理エージェントに割り当てられます。ただし、そのポートが使用中の場合は別のポート番号が割り当てられる可能性があります。
管理エージェントに割り当てるポート番号を決定した後、そのポートでHTTPまたはHTTPS (Enterprise Manager Framework Securityが有効か無効かによって変わる)通信を受信できるようにファイアウォールを構成する必要があります。
関連項目: HTTPまたはHTTPS通信に対する特定のポートの開き方の詳細は、使用するファイアウォールのドキュメント |
Oracle Management Serviceがファイアウォールで保護されたホスト上にインストールされ、管理データを提供する管理エージェントがファイアウォールの反対側にある場合は、次の作業を実行する必要があります。
管理エージェントへの通信にプロキシ・サーバーを使用するようにOracle Management Serviceを構成します。
管理リポジトリ・アップロード・ポートの管理エージェントからHTTP通信を受信できるようにファイアウォールを構成します。
Enterprise Manager Framework Securityを有効にしている場合、アップロードURLではポート1159が使用されます。このポートを使用できない場合、Enterprise Managerでは、4899から4908の範囲内で使用可能な最初のポートがデフォルトとして使用されます。Enterprise Manager Framework Securityを有効にしていない場合、アップロード・ポートは4889から4897の範囲内で使用可能な最初のポートになります。
図12-3には、管理エージェントがファイアウォールで保護されている場合に設定する必要がある接続が示されています。
図12-3 Oracle Management Serviceがファイアウォール内にある場合の構成タスク
この項では、ファイアウォール外の管理エージェントとの通信にプロキシ・サーバーを使用するようにOracle Management Serviceを構成する方法について説明します。
プロキシ・サーバーを使用するためにOracle Management Serviceを構成するには、次のようにします。
「設定」メニューから「プロキシ設定」を選択します。
「エージェント接続設定」で、「手動プロキシ構成」をクリックします。
必要なHTTPまたはHTTPSプロパティ値を構成に指定します。
「適用」をクリックして、変更をOMSインスタンスのOMS_HOME/sysman/config/emd.properties
ファイルに保存します。
構成を指定したら、管理エージェントのURLを指定(またはデフォルトのURLを使用)してテストします。
環境内の管理エージェントが管理対象ホスト上の管理エージェントへ接続する必要がある一方で、Oracle Management Serviceが管理エージェントからのアップロード・データを受信できる必要もあります。Oracle Management Serviceがファイアウォールの内側にある場合、管理エージェントがアップロード・ポート上でデータをアップロードできるようにファイアウォールを構成する必要があります。
デフォルトでは、Enterprise Managerのインストール時にポート4889がリポジトリのアップロード・ポートとして割り当てられます。ただし、そのポートが使用中の場合は別のポート番号が割り当てられます。
また、Enterprise Manager Framework Securityを有効にすると、アップロード・ポートは自動的にセキュアな1159 HTTPSポートに変更されます。
管理者はインストール後にアップロード・ポートを変更することもできます。
Oracle Management Serviceのアップロード・ポートに割り当てるポート番号を決定した後、そのポートでHTTPまたはHTTPS (Enterprise Manager Framework Securityが有効か無効かによって変わる)通信を受信できるようにファイアウォールを構成する必要があります。
関連項目: HTTPまたはHTTPS通信に対する特定のポートの開き方の詳細は、使用するファイアウォールのドキュメント |
環境内でインターネットへのオンライン・アクセスが厳しく禁止されていないかぎり、My Oracle SupportにアクセスできるようにOracle Management Serviceを有効にしてください。このアクセスは、更新やパッチなどのダウンロードに必要です。
最低限、次のURLはファイアウォールを通過できるようにしてください。
aru-akam.oracle.com
ccr.oracle.com
login.oracle.com
support.oracle.com
updates.oracle.com
プロキシ・サーバーを使用するためにOracle Management Serviceまたは管理エージェントを構成する際、プロキシが使用されない特定のURLドメインを指定するdontProxyFor
プロパティの目的を理解することが重要です。
たとえば、次のような状況を想定します。
企業のファイアウォール内のホスト上にOracle Management Serviceおよびいくつかの管理エージェントをインストールしています。これらのホストは、内部のドメイン.example.com
および.example.us.com
内にあります。
ファイアウォール外のホスト上にいくつかの追加管理エージェントをインストールしています。これらのホストは.example.uk
ドメイン内にインストールされています。
My Oracle Support上の重要なソフトウェア・パッチを自動的にチェックするようにEnterprise Managerを構成しています。
このケースでは、プロキシ・サーバーを使用せずに、Oracle Management Serviceを直接ファイアウォール内の管理エージェントに接続します。その一方で、ファイアウォール外の管理エージェントおよびMy Oracle Supportサイト(次のURLを参照)には、プロキシ・サーバーを使用してOracle Management Serviceを接続します。
http://support.oracle.com
次のプロパティを指定すると、Oracle Management Serviceはファイアウォール内の管理エージェントへの接続にプロキシ・サーバーを使用しません。My Oracle Supportおよびファイアウォール外の管理エージェントへの接続は、プロキシ・サーバーを経由して行われます。
proxyHost=proxy42.example.com proxyHost=80 dontProxyFor=.example.com, .example.us.com
管理サービスと管理リポジトリの間のセキュアな接続はOracle Advanced Securityの機能を使用して実行されます。このため、管理サービスと管理リポジトリがファイアウォールで分割されている場合は、Oracle Netのファイアウォール・プロキシ・アクセスを使用できるようにファイアウォールを構成する必要があります。
Cloud Controlコンソールを使用してデータベースを管理している場合、特定の監視および管理タスクを実行するには、Cloud Controlコンソールからデータベースにログインする必要があります。ファイアウォールの反対側のデータベースにログインする場合は、Oracle Netのファイアウォール・プロキシ・アクセスを使用できるようにファイアウォールを構成する必要があります。
特に、管理対象データベースで管理アクティビティを実行する場合は、Oracle Management ServiceがOracleリスナー・ポート経由でデータベースと通信するようにファイアウォールが構成されている必要があります。
Enterprise Managerでは、共通の管理リポジトリと通信する複数のOracle Management Serviceの使用がサポートされています。たとえば、複数のOracle Management Serviceを使用すると、E-Businessエンタープライズの成長に伴い集中管理機能を拡大していく場合のロード・バランシングに役立ちます。
ファイアウォールで保護された環境で複数のOracle Management Serviceをデプロイするときは、次のことに注意してください。
各管理エージェントは、1つのOracle Management Serviceにデータをアップロードするように構成されています。このため、管理エージェントとそのOracle Management Serviceの間にファイアウォールがある場合、管理エージェントがアップロードURLを使用して管理サービスにデータをアップロードできるように、ファイアウォールを構成する必要があります。
また、管理エージェントの可用性のチェックのため、各Oracle Management Serviceがエンタープライズ内のあらゆる管理エージェントに接続できるようにします。このため、デプロイする各Oracle Management ServiceがHTTPまたはHTTPS経由でエンタープライズ内のあらゆる管理エージェントと通信できるように、ファイアウォールを構成する必要があります。
そうでない場合、特定の管理エージェントへアクセスしないOracle Management Serviceは、管理エージェントが実行中かどうかについて正しくない情報をレポートする可能性があります。
関連項目: Enterprise Managerによるホストおよび管理エージェントの可用性の決定方法の詳細は、Enterprise Managerオンライン・ヘルプの可用性に関する項 |
Oracleビーコンにより、アプリケーションのパフォーマンス可用性およびパフォーマンス監視が提供されます。これらはEnterprise Managerのサービス・レベル管理機能の一部です。
関連項目: Enterprise Managerのオンライン・ヘルプのサービス・レベル管理に関する項 |
Enterprise Managerでは、業界標準のInternet Control Message Protocol (ICMP)およびユーザー・データグラム・プロトコル(UDP)を使用して、ビーコンと監視対象のネットワーク・コンポーネントの間のデータ転送を行います。Webアプリケーション・コンポーネントとそのコンポーネントを監視するために使用しているビーコンが、ファイアウォールによって分割される場合があります。このようなケースでは、ICMP通信、UDP通信およびHTTP通信ができるようにファイアウォールを構成する必要があります。