Oracle® Enterprise Manager Cloud Controlアドバンスト・インストレーションおよび構成ガイド 12cリリース3 (12.1.0.3) B65085-09 |
|
前 |
次 |
ファイアウォールは、各ネットワーク・パケットを調べ適切な処理を決定することでネットワーク通信量を制限し、それによって、企業の情報技術(IT)インフラストラクチャを保護します。
ファイアウォールの構成には通常、ファイアウォールの片側(インターネットなど)に有効なポートの制限が含まれます。HTTPなど、特定のポートを通過できる通信の種類を限定するように設定することもできます。クライアントが制限付きポート(セキュリティ・ルールの対象外のポート)に接続を試行したり、不適切なプロトコルを使用すると、クライアントは即座にファイアウォールによって切断されます。特定のサーバーへのユーザー・アクセスを制限するために、ファイアウォールを企業のイントラネット内で使用することもできます。
Oracle Enterprise Managerコンポーネントはエンタープライズ全体の異なるホストにデプロイできます。これらのホストはファイアウォールによって分割されます。この章では、Enterprise Managerコンポーネント間の通信を可能にするファイアウォールの構成方法について説明します。
この章の内容は次のとおりです。
ファイアウォールの構成はEnterprise Managerのデプロイの最後に行います。ファイアウォールを構成する前に、Enterprise Managerコンソールにログインできることと、Oracle Management Agent (管理エージェント)が稼働中でターゲットを監視していることを確認してください。
ファイアウォールがすでにインストールされている環境でEnterprise Managerをデプロイする場合は、インストールおよび構成プロセスを終了してEnterprise Managerにログインできることと、管理エージェントが稼働中でターゲットを監視していることを確認できるまで、全通信に対するデフォルトのEnterprise Manager通信ポートを開いておきます。
Enterprise Managerのデフォルトの通信ポートは、インストール時に割り当てられます。デフォルトのポートを変更する場合は、必ずファイアウォール構成時の新規のポート割当てを使用してください。
Oracle Management Service (OMS)のEnterprise Manager Framework Securityを有効にしている場合、その構成プロセスの最終ステップは、管理エージェントからのアップロードをセキュアなチャネルのみに限定することです。そのステップを終了する前に、管理エージェントと管理リポジトリの間でHTTPおよびHTTPS通信の両方が可能となるようにファイアウォールを構成し、Enterprise Managerにログインできることとデータがリポジトリにアップロード中であることを確認するテストを行います。
両方のプロトコルが有効な状態でOMSと管理エージェントが通信できることを確認した後、セキュア・モードへの移行を終了し、必要に応じてファイアウォール構成を変更します。ファイアウォールを段階的に構成していくと、構成上の問題をより簡単に解決できます。
Enterprise Managerコンポーネントが使用するポートを理解するには、第2.1.9項を参照してください。
Enterprise Managerをファイアウォール保護環境下で動作するように設定する際の主な作業は、可能な場合はプロキシ・サーバーを利用すること、必要なポートのみをセキュアな通信で使用可能にすること、およびビジネスの運営に必要なデータのみがファイアウォールを通過するようにすることです。
図 11-1に、ファイアウォールを使用するEnterprise Manager環境のトポロジ、および使用可能なデフォルト・ポートを示します。
上の図で使用している表記規則は次のとおりです。
表11-1 図で使用されている表記規則
規則 | 説明 |
---|---|
C |
コールを行う実体。 |
* |
Enterprise Managerは、Enterprise Managerの設定範囲内の使用可能な最初のポートをデフォルトとして使用します。 |
** |
Enterprise Managerは、使用可能な最初のポートをデフォルトとして使用します。 |
*** |
データベース・リスナー・ポート。 |
注意:
|
ブラウザからEnterprise Managerコンソールへの接続は、Oracle HTTP Serverで使用されるデフォルト・ポート経由で実行されます。
たとえば、Oracle HTTP Serverのデフォルトの保護されていないポートは、通常、ポート7788です。次のURLおよびポートを使用してEnterprise Managerコンソールにアクセスする場合、Enterprise Managerコンソールでポート7788を経由してHTTP通信を受信できるように、ファイアウォールを構成する必要があります。
http://omshost.example.com:7788/em
一方、Oracle HTTP Serverのセキュリティを有効にしている場合は、サーバーのデフォルトのセキュア・ポートを使用する場合がほとんどであり、これは通常、ポート7799です。次のURLおよびポートを使用してEnterprise Managerコンソールにアクセスする場合、Enterprise Managerコンソールでポート7799を経由してHTTPS通信を受信できるように、ファイアウォールを構成する必要があります。
https://omshost.example.com:7799/em
管理エージェントがファイアウォールで保護されたホスト上にインストールされ、OMSがファイアウォールの反対側にある場合は、次の作業を実行する必要があります。
OMSへのアップロードにプロキシ・サーバーを使用するように管理エージェントを構成します。
管理エージェント・ポートのOMSからHTTP通信を受信できるようにファイアウォールを構成します。Enterprise Manager Framework Securityが有効化されているかどうかにかかわらず、デフォルトのポートは3872です。通信を受信できるのは、管理エージェントに対応するポートがファイアウォールで開かれている場合のみです。
図11-2には、管理エージェントがファイアウォールで保護されている場合に設定する必要がある接続が示されています。
ファイアウォール外のOMSとの通信にプロキシ・サーバーを使用するように、またはファイアウォール外のターゲットを管理するように管理エージェントを構成できます。
「設定」メニューから「エージェント」を選択します。
「管理エージェント」表の「名前」列で、構成するエージェントをクリックします。管理エージェントのターゲット・ホームページが開きます。
「エージェント」メニューから「プロパティ」を選択します。
プルダウン・メニューから「拡張プロパティ」を選択します。
REPOSITORY_PROXYHOST
およびREPOSITORY_PROXYPORT
プロパティの正しい値を指定します。
「適用」をクリックします(変更はAGENT_HOME
/sysman/config/emd.properties
ファイルに保存されます)。
注意: プロキシ・パスワードは、管理エージェントを再起動する際に暗号化されます。 |
環境内の管理エージェントが管理対象ホストからOMSへデータをアップロードする一方で、OMSは管理エージェントと通信を行う必要もあります。このため、管理エージェントがファイアウォールで保護されている場合、OMSが管理エージェント・ポート上のファイアウォールを介して管理エージェントに接続できるようにします。
デフォルトでは、Enterprise Managerのインストール時にポート3872が管理エージェントに割り当てられます。ただし、そのポートが使用中の場合は別のポート番号が割り当てられる可能性があります。
管理エージェントに割り当てるポート番号を決定した後、そのポートでHTTPまたはHTTPS (Enterprise Manager Framework Securityが有効か無効かによって変わる)通信を受信できるようにファイアウォールを構成する必要があります。
OMSがファイアウォールで保護されたホスト上にインストールされ、管理データを提供する管理エージェントがファイアウォールの反対側にある場合は、次の作業を実行する必要があります。
管理エージェントへの通信にプロキシ・サーバーを使用するようにOMSを構成します。
管理リポジトリ・アップロード・ポートの管理エージェントからHTTP通信を受信できるようにファイアウォールを構成します。
Enterprise Manager Framework Securityを有効にしている場合、アップロードURLではポート1159が使用されます。このポートを使用できない場合、Enterprise Managerでは、4899から4908の範囲内で使用可能な最初のポートがデフォルトとして使用されます。Enterprise Manager Framework Securityを有効にしていない場合、アップロード・ポートは4889から4897の範囲内で使用可能な最初のポートになります。
図11-3には、管理エージェントがファイアウォールで保護されている場合に設定する必要がある接続が示されています。
この項では、ファイアウォール外の管理エージェントとの通信にプロキシ・サーバーを使用するようにOMSを構成する方法について説明します。
プロキシ・サーバーを使用するためにOMSを構成するには、次のようにします。
「設定」メニューから、「プロキシ設定」を選択し、「エージェント」を選択します。
注意: エージェントのプロキシ設定ページでは、管理エージェントからOMSではなく、OMSから管理エージェントへのみの通信に使用できるプロキシ・サーバーを構成できます。構成するプロキシ・サーバーは、OMSとすべての管理エージェント間の通信に使用されます。 |
「手動プロキシ構成」を選択します。
Specify values for 「プロトコル」、「プロキシ・サーバーのホスト」、「ポート」および「プロキシを使用しないドメイン」の値を指定します。指定したプロキシ・サーバーがセキュリティ・レルムまたはログイン資格証明(あるいはその両方)を使用して構成されている場合、「レルム」、「ユーザー名」および「パスワード」に値を指定します。
「テストURL」セクションで、「URL」に管理エージェントのURLを指定し、「テスト」をクリックして、指定した管理エージェントとOMSが指定したプロキシ・サーバーを使用して通信できるかどうかをテストします。
接続が成功した場合、「適用」をクリックしてプロキシ設定をリポジトリに保存します。
OMSを再起動します。複数OMSの設定を使用している場合、すべてのOMSを再起動します。
Unixベースのプラットフォームで稼働するOMSを再起動するには、次のコマンドを実行します。
<OMS_HOME>/bin/emctl stop oms <OMS_HOME>/bin/emctl start oms
Microsoft Windowsのプラットフォームで稼働するOMSを再起動するには、次の手順を実行します。
「マイ コンピュータ」を右クリックし、「管理」を選択します。
「コンピュータの管理」ウィンドウの左側のペインで、「サービスとアプリケーション」を展開し、「サービス」を選択します。
「OracleManagementServer_EMGC_OMS*」
サービスを選択し、再起動ボタンをクリックします。
環境内の管理エージェントが管理対象ホスト上の管理エージェントへ接続する必要がある一方で、OMSが管理エージェントからのアップロード・データを受信できる必要もあります。OMSがファイアウォールの内側にある場合、管理エージェントがアップロード・ポート上でデータをアップロードできるようにファイアウォールを構成する必要があります。
デフォルトでは、Enterprise Managerのインストール時にポート4889がリポジトリのアップロード・ポートとして割り当てられます。ただし、そのポートが使用中の場合は別のポート番号が割り当てられます。
また、Enterprise Manager Framework Securityを有効にすると、アップロード・ポートは自動的にセキュアな1159 HTTPSポートに変更されます。
管理者はインストール後にアップロード・ポートを変更することもできます。
OMSのアップロード・ポートに割り当てるポート番号を決定した後、そのポートでHTTPまたはHTTPS (Enterprise Manager Framework Securityが有効か無効かによって変わる)通信を受信できるようにファイアウォールを構成する必要があります。
環境内でインターネットへのオンライン・アクセスが厳しく禁止されていないかぎり、My Oracle SupportにアクセスできるようにOMSを有効にしてください。このアクセスは、更新やパッチなどのダウンロードに必要です。
最低限、次のURLはファイアウォールを通過できるようにしてください。
aru-akam.oracle.com
ccr.oracle.com
login.oracle.com
support.oracle.com
updates.oracle.com
デフォルト・ポート(ポート80)がこれらURLへの接続に使用されていることを確認してください。
プロキシ・サーバーを使用するためにOMSまたは管理エージェントを構成する際、プロキシが使用されない特定のURLドメインを指定するdontProxyFor
プロパティの目的を理解することが重要です。
たとえば、次のような状況を想定します。
企業のファイアウォール内のホスト上にOMSおよびいくつかの管理エージェントをインストールしています。これらのホストは、内部のドメイン.example.com
および.example.us.com
内にあります。
ファイアウォール外のホスト上にいくつかの追加管理エージェントをインストールしています。これらのホストは.example.uk
ドメイン内にインストールされています。
My Oracle Support上の重要なソフトウェア・パッチを自動的にチェックするようにEnterprise Managerを構成しています。
このケースでは、プロキシ・サーバーを使用せずに、OMSを直接ファイアウォール内の管理エージェントに接続します。その一方で、ファイアウォール外の管理エージェントおよびMy Oracle Supportサイト(次のURLを参照)には、プロキシ・サーバーを使用してOMSを接続します。
http://support.oracle.com
次のプロパティを指定すると、OMSはファイアウォール内の管理エージェントへの接続にプロキシ・サーバーを使用しません。My Oracle Supportおよびファイアウォール外の管理エージェントへの接続は、プロキシ・サーバーを経由して行われます。
proxyHost=proxy42.example.com proxyHost=80 dontProxyFor=.example.com, .example.us.com
OMSと管理リポジトリの間のセキュアな接続はOracle Advanced Securityの機能を使用して実行されます。このため、OMSと管理リポジトリがファイアウォールで分割されている場合は、Oracle Netのファイアウォール・プロキシをOMSがリポジトリにアクセスできるように構成する必要があります。
Enterprise Managerコンソールを使用してデータベースを管理する場合、特定の監視および管理タスクを実行するには、Enterprise Managerコンソールからデータベースにログインする必要があります。ファイアウォールの反対側のデータベースにログインする場合は、Oracle Netのファイアウォール・プロキシ・アクセスを使用できるようにファイアウォールを構成する必要があります。
特に、管理対象データベースで管理アクティビティを実行する場合は、OMSがOracleリスナー・ポート経由でデータベースと通信するようにファイアウォールが構成されている必要があります。
Enterprise Managerでは、共通の管理リポジトリと通信する複数のOMSインスタンスの使用がサポートされています。たとえば、複数のOMSを使用すると、E-Businessエンタープライズの成長に伴い集中管理機能を拡大していく場合のロード・バランシングに役立ちます。
ファイアウォールで保護された環境で複数のOMSインスタンスをデプロイするときは、次のことに注意してください。
各管理エージェントは、1つのOMSにデータをアップロードするように構成されています。このため、管理エージェントとそのOMSの間にファイアウォールがある場合、管理エージェントがアップロードURLを使用してOMSにデータをアップロードできるように、ファイアウォールを構成する必要があります。
また、管理エージェントの可用性のチェックのため、各OMSがエンタープライズ内のあらゆる管理エージェントに接続できるようにします。このため、デプロイする各OMSがHTTPまたはHTTPS経由でエンタープライズ内のあらゆる管理エージェントと通信できるように、ファイアウォールを構成する必要があります。
そうでない場合、特定の管理エージェントへアクセスしないOMSは、管理エージェントが実行中かどうかについて正しくない情報をレポートする可能性があります。
関連項目: Enterprise Managerによるホストおよび管理エージェントの可用性の決定方法の詳細は、Enterprise Managerオンライン・ヘルプの可用性に関する項 |
Oracleビーコンにより、アプリケーションのパフォーマンス可用性およびパフォーマンス監視が提供されます。これらは、Enterprise Managerのアプリケーション・サービス・レベル管理機能の一部になります。
関連項目: Enterprise Managerオンライン・ヘルプのアプリケーション・サービス・レベル管理に関する項 |
Enterprise Managerでは、業界標準のInternet Control Message Protocol (ICMP)およびユーザー・データグラム・プロトコル(UDP)を使用して、ビーコンと監視対象のネットワーク・コンポーネントの間のデータ転送を行います。Webアプリケーション・コンポーネントとそのコンポーネントを監視するために使用しているビーコンが、ファイアウォールによって分割される場合があります。このようなケースでは、ICMP通信、UDP通信およびHTTP通信ができるようにファイアウォールを構成する必要があります。
OMSは、Internet Control Message Protocol (ICMP)エコー・リクエストを使用してターゲット・ホスト・マシンのステータスを確認します。ICMPエコー・リクエストがファイアウォールによりブロックされると、ホスト・マシンが停止しているように見えます。
環境内のマシンのステータスを判別するには、ファイアウォールでICMPエコー・リクエストを有効にする必要があります。ICMPエコー・リクエストが有効になっている場合、OMSからping
コマンドを発行して、マシンのステータスを確認できます。
デフォルトでは、ポート7がICMPエコー・リクエストに使用されます。