|
|
このマニュアルでは、モニタリングおよび典型的な使用例にEnterprise Manager for Oracle Tuxedoを使用する前に、管理者側で行う必要がある構成タスクについて説明します。
Enterprise Manager for Oracle Tuxedoを使用してTuxedoドメイン・ターゲットをモニターするには、Tuxedoドメインより前にtlistenプロセスを起動し、TuxedoドメインのMBeanをtlistenプロセスに埋め込まれたJMXエージェントに登録できるようにする必要があります。特にMPドメインでは、すべてのマシンに対してtlistenを起動する必要があります。
| 注意: | Enterprise Manager for Oracle TuxedoをOracle TSAM Plus 12cと組み合せて使用する場合、埋め込まれたJMXエージェントを起動するためにJRE 1.6または次のJDK 1.6バージョンのいずれかが必要です。 |
| 注意: | TSAM Plusのインストール・ディレクトリにあるJREを使用することもお薦めします。 |
tlistenを起動する前に、tlistenの環境変数SHLIB_PATH/LIBPATH/LD_LIBRARY_PATHを設定し、libjvmライブラリ・パスを組み込む必要があります。Windowsプラットフォームでは、JAVA_HOMEのみを設定する必要があります。HPプラットフォームでは、LD_PRELOADを設定し、libjvm.soディレクトリを組み込む必要があります。
リスト1に、様々なプラットフォームでの環境変数の設定例を示します。
LD_LIBRARY_PATH=$TUXDIR/lib:$JAVA_HOME/jre/lib/amd64/server:$LD_LIBRARY_PATH; export LD_LIBRARY_PATH; LIBPATH=$TUXDIR/lib:$JAVA_HOME/jre/lib/ppc64:${JAVA_HOME}/jre/lib/ppc64/default:$LIBPATH;export LIBPATH;LD_LIBRARY_PATH=$TUXDIR/lib:$JAVA_HOME/jre/lib/IA64W/server:$LD_LIBRARY_PATH;
export LD_LIBRARY_PATH;
LD_PRELOAD=$JAVA_HOME/jre/lib/IA64W/server/libjvm.so;
export LD_PRELOAD;
| 注意: | LD_PRELOADは、tlistenで埋込みJMXエージェントを起動するためにのみ使用されます。Tuxedoアプリケーションのビルド時には設定しないでください。 |
tlisten -j rmi://<host>:<rmiport> -l //<host>:<tlistenport>
tlisten -j rmi://bej301163.cn.oracle.com:26999 -l //bej301163.cn.oracle.com:16998
| 注意: | -lオプションで指定されたホストおよびポートが、UBBCONFIGファイルで指定されたNLSADDR値と同じであることを確認します。 |
tlistenプロセスが正しく起動すると、メッセージRMIコネクタ・サーバーが正しく起動しましたおよび埋込みJMXエージェントが正しく起動しましたがULOGに表示されます。
JMXモニタリング機能を活用できるように、tlistenコマンドラインには次のオプションが追加されています。
-j jmxaddr jmxaddrで、埋込みJMXエージェントのRMIコネクタのアドレスを指定します。アドレスが他のプロセスに占有されていた場合、ULOGにエラーメッセージが出力され、JMXエージェントは起動しません。表1に、jmxaddrのアドレス形式を示します。
| 注意: | MPドメインの場合、tlistenの-jオプションをすべてのマシン・ノードに構成する必要があります。 |
tlistenは、Tuxedo側でモニタリングおよび管理エージェントとして作動します。Enterprise Managerからモニタリングと管理のリクエストを受け取り、これらのリクエストを対応するTuxedoサービスにディスパッチします。tlistenは各JMX接続にTuxedoコンテキストを作成します。モニター対象のTuxedoドメインが認証および認可を有効にしている場合、Tuxedoドメインをアタッチする際にtlistenはEnterprise Repositoryから取得した資格証明を提供します。tlistenに送信する場合、tlistenは次のことを行います。 tlistenは、また、Enterprise Repositoryエージェントからのジョブ・リクエストをMIBサービスに転送します。Enterprise Repositoryエージェントは各ジョブ・リクエストごとに新規の接続を作成し、ジョブが終了した後に接続を解除します。それに応じて、tlistenは各ジョブ・リクエストに対してTuxedoコンテキストを作成します。
Tuxedoドメイン・モニタリング・ターゲットをモニターして管理するためには、*NETWORKセクションを追加し、TuxedoドメインのUBBCONFIGファイルにあるNLSADDRパラメータをSHMモードで構成することによって、ターゲットをtlistenに登録する必要があります。
特定のメトリック(MIBのサービス・メトリックやIPCキュー・メトリックなど)の収集および計算は、CPU時間を消費し、Oracle Tuxedoのパフォーマンスに影響する可能性があります。Oracle Tuxedoは、UBBCONFIGファイルの*RESOURCESセクションでEXT_MON OPTIONSパラメータを使用して、MIBのパフォーマンスに影響するメトリックの収集を実行できます。
インジケータを指定すると、Tuxedo TargetsセクションでリストされているすべてのメトリックがMIBで収集されます。指定しないと、次のメトリックはOracle Tuxedoによって収集されません。
このパラメータ設定を変更すると、即座にメトリック収集ポリシーも変更されます。
リスト2に、Enterprise ManagerモニタリングをサポートしているSHMモードのUBBCONFIGファイルの例を示します。
*RESOURCES
IPCKEY 65831
DOMAINID shm
MASTER L1
MODEL SHM
MAXACCESSERS 100
MAXSERVERS 100
OPTIONS EXT_MON
*MACHINES
"bej301163" LMID = L1
APPDIR = "/testarea/tux/test/jmx/servers"
TUXCONFIG = "/testarea/tux/test/jmx/servers/tuxconfig"
TUXDIR = "/testarea/tux/oracle/tuxedo12.1.1.0"
*GROUPS
ATMIGRP1 LMID = L1
GRPNO = 10
*SERVERS
SvrUpdate SRVGRP = ATMIGRP1
SRVID = 100
*SERVICES
*NETWORK
"L1"
NLSADDR="//bej301163.cn.oracle.com:16998"
Oracle Tuxedoアプリケーションの管理とモニタリングを行うために、まずEnterprise Manager Cloud Controlを使用してTuxedoターゲットを検出する必要があります。
これが検出されると、その中のドメインとコンポーネントを「管理対象ターゲット」ステータスに昇格できます。そして、24時間ごとに自動的に検出ジョブが実行され、ターゲットが更新されます。このプロセスでは、Enterprise Manager Cloud Controlがターゲットをモニターするために必要なデータを収集できるように、各ターゲットに管理エージェントが割り当てられます。
JMXエージェントのすべてのTuxedoドメインを検出するには、次の手順を実行します。
tlisten -jオプションで指定されたポート番号です。SECURITY値がAPP_PW、USER_AUTH、ACLまたはMANDATORY_ACLのいずれかの場合、このパラメータを入力する必要があります。それ以外の場合は、フィールドを空のままにします。SECURITY値がUSER_AUTH、ACLまたはMANDATORY_ACLのいずれかの場合、このパラメータを入力する必要があります。それ以外の場合は、フィールドを空のままにします。SECURITY値がUSER_AUTH、ACLまたはMANDATORY_ACLのいずれかの場合、このパラメータを入力する必要があります。それ以外の場合は、フィールドを空のままにします。tlistenプロセスのEnterprise ManagerとJMXエージェント間のSSLメカニズムを参照します。tlistenおよびTuxedo Homeターゲットのみ検出されます。tlistenプロセスによってモニターされるTuxedoドメインを検出する場合、このボックスを選択したままにします。tlistenと同じ物理マシンにあるものを選択することをお薦めします。| 注意: | 「ユーザー名」、「パスワード」および「アプリケーション・パスワード」を使用して、すべての検出されたターゲットのEnterprise Manager監視資格証明を生成します。Enterprise Managerコンソールで「設定」→「セキュリティ」をクリックして、監視資格証明を管理できます。 |
Enterprise Manager Cloud ControlにスタンドアロンのTuxedoターゲットを追加するには、次の手順を実行します。
Enterprise Manager Cloud Controlはtlistenを回避し、Enterprise Repositoryに直接ターゲットを追加します。
Enterprise Manager for Oracle Tuxedoは次のセキュリティ・メカニズムをサポートします。
TuxedoドメインのSECURITYパラメータがAPP_PWの場合、Enterprise Managerエージェントにより認証用のTuxedoアプリケーション・パスワードが提供されます。SECURITYパラメータがUSR_AUTH、ACLまたはMANDATORY_ACLの場合は、Enterprise Managerエージェントは認証用のアプリケーション・パスワード、ユーザー名およびユーザー・パスワードを提供します。また、AUTHSVRはUBBCONFIGファイルで構成する必要があります。
Enterprise Managerにより使用されるTuxedoユーザーのクライアント名はtpsysadmである必要があります。それ以外の場合は、一部のメトリックおよびジョブ・リクエストが失敗します。
Tuxedoセキュリティ構成に基づくJOBが呼び出されると、次の3つの事例が発生する場合があります。
NONE「資格証明」ページは表示されません。ジョブはただちに実行されます。
APP_PW「資格証明」ページが表示され、Tuxedoのユーザー名、パスワードおよびアプリケーション・パスワードの入力が要求されます。Enterprise Manager OMSは、このような情報を同時に取得し、JMXエージェントと通信します。認証に成功すると、ジョブが実行されます。それ以外の場合は、ジョブは拒否されます。
| 注意: | Tuxedoが認証または認可にTuxedoユーザー名フィールドおよびTuxedoパスワード・フィールドの値を使用しない場合でも、この2つのフィールドをプレースホルダとして入力する必要があります。 |
ACL/ACL_MANDATORY「資格証明」ページが表示され、Tuxedoのユーザー名、パスワードおよびアプリケーション・パスワードの入力が要求されます。Enterprise Manager OMSは、この情報を使用して、JMXエージェントと通信します。認証に成功すると、後でジョブが実行されます。反対に、認証または認可に失敗するとジョブは拒否されます。
| 注意: | TuxedoドメインまたはTuxedoマシン・タイプを持つTuxedoターゲットを起動する場合 |
ターゲットの検出後、ステータスまたはメトリックの更新を必要とするすべてのターゲットは、ターゲット・インスタンス・プロパティへのユーザー名、パスワードおよびアプリケーション・パスワードを使用して更新されます。
詳細は、「Tuxedoターゲットの検出と追加」を参照してください。
Enterprise Managerエージェントに呼び出されたfetchletは、Tuxedoセキュリティが有効化されると、ターゲット・インスタンスのプロパティとして保管されたユーザー名、パスワードおよびアプリケーション・パスワードを使用してTuxedo JMXエージェントに接続します。
| 注意: | Enterprise Manager Cloud Controlは、拡張構成モードを使用してインストールする必要があります。それ以外の場合は、管理ジョブ(UBBの変更、ターゲットの起動または停止)は失敗します。 |
詳細は、「tlistenプロセスの起動」を参照してください。
SSLを有効化するには、tlistenを起動した時点でSSLを有効化する必要があります。詳細は、「tlistenプロセスの起動」を参照してください。
JMXエージェントがSSLを有効化した場合、Enterprise Manager OMS/エージェントはSSLを有効化する必要があります。そうしないと、OMSはJMXエージェントとの接続に失敗します。
JMXエージェントがSSLを有効化した場合は、検出UIページで「SSLの使用」チェック・ボックスを選択する必要があります。そうしないと、検出は拒否されます。
検出UIで「SSLの使用」チェック・ボックスが選択されている場合は、検出プロセスはSSLセキュリティを使用して実行されます。有効化したSSLによる検出の前に、SSLランタイム環境は、Tuxedoアプリケーション、Enterprise Manager OMSおよびEnterprise Managerエージェントの3つの領域で準備完了している必要があります。
JMXエージェント用にSSLが有効化されていることを確認します。詳細は、 「tlistenプロセスの起動」を参照してください。
「true」の場合、SSLが有効化されます。それ以外の場合は、有効化されません。「true」に設定する必要があります)。| 警告: | SSLが無効化されているすべてのTuxedoターゲットをすでに検出済で、SSLを有効化してJMXエージェントを起動した場合、Enterprise Manager OMS/エージェントはJMXエージェントとの接続に失敗します。つまり、すべての関連ターゲットのステータスは不明であり、Tuxedoホーム・ページからのすべてのジョブ・アクションは拒否されます。 |
| 警告: | 解決策: このシナリオが発生した場合、手動検出を再実行する必要があります。 |
tlisten起動オプションにより、SSLを有効化するキーストアの場所およびパスワードが提供されます。
| 注意: |
tlistenがアクティブの場合、keystoreを変更してからtlistenを再起動します。$ keytool -genkeypair -alias tuxedo -keyalg RSA -validity 1825 -keystore keystore.jks
Enter keystore password:
Re-enter new password:
What is your first and last name?
[Unknown]: Tuxedo
What is the name of your organizational unit?
[Unknown]: Oracle Tuxedo
What is the name of your organization?
[Unknown]: Oracle Corporation
What is the name of your City or Locality?
[Unknown]: Redwood Shores
What is the name of your State or Province?
[Unknown]: CA
What is the two-letter country code for this unit?
[Unknown]: US
Is CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US correct?
[no]: yes
Enter key password for <tuxedo>
(RETURN if same as keystore password):
OMS側では、SSLは標準Java Secure Socket Extension (JSSE)に準拠します。詳細は、『Java Secure Socket Extension (JSSE)リファレンス・ガイド』を参照してください。
tuxedo.cerと仮定します。)javax.net.ssl.trustStore、オプションがWLS起動スクリプトで設定される場合はstartWebLogic.shまたはWLS起動システム・プロパティにより指定される信頼ストア。 $MW_HOME/jdk16/jdk/jre/lib/security/jssecacerts。$MW_HOME/jdk16/jdk/jre/lib/security/cacerts。 $MW_HOMEは、Oracle Enterprise Managerのインストール・ディレクトリです。
$ keytool -export -alias tuxedo -keystore keystore.jks -rfc -file tuxedo.cer
Enter keystore password:
Certificate stored in file <tuxedo.cer>
$ keytool -import -alias tuxedo -file tuxedo.cer -keystore $MW_HOME/jdk16/jdk/jre/lib/security/jssecacerts
Enter keystore password:
Re-enter new password:
Owner: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Issuer: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Serial number: 4fab2940
Valid from: Thu May 10 10:34:40 CST 2012 until: Tue May 09 10:34:40 CST 2017
Certificate fingerprints:
MD5: 63:E2:6E:93:AD:5A:7F:21:CB:3C:51:3F:8C:92:AA:0D
SHA1: 77:D2:86:4F:74:A3:84:64:A0:5B:CA:50:7A:EF:66:DC:7F:92:83:0F
Signature algorithm name: SHA1withRSA
Version: 3
Trust this certificate? [no]: yes
Certificate was added to keystore
| 注意: | $MW_HOME/jdk16/jdk/jre/lib/security/jssecacertsおよび$MW_HOME/jdk16/jdk/jre/lib/security/cacertsのデフォルト・パスワードはchangeitです。 |
Enterprise Managerエージェントには、信頼ストア($ORACLE_HOME/sysman/config/montrust/AgentTrust.jks)が事前インストールされている場合があります。$ORACLE_HOMEは、インストールされているEnterprise Managerエージェントのディレクトリです(たとえば、/testarea/em/installed_em/EM_110922/agent/agent_inst)。
AgentTrust.jksが存在する場合は、ユーザーの公開鍵をAgentTrust.jksにインポートする必要があります。それ以外の場合は、TuxedoTrust.jksを$ORACLE_HOME /sysman/config/montrust/にコピーし、AgentTrust.jksに名前を変更する必要があります。
通常、Enterprise Managerエージェント側で、CA証明書を$EMAGENT_HOME/agent_inst/sysman/config/montrust/AgentTrust.jksにインポートする必要があります。AIX 5.3 64ビット・プラットフォームの場合、CA証明書を$EMAGENT_HOME/core/12.1.0.2.0/jdk/jre/lib/security/cacertsにもインポートする必要があります。
cd $EMAGENT_HOME/core/12.1.0.2.0/jdk/jre/lib/security
keytool -import -alias tuxedo -file tuxedo.cer -keystore $EMAGENT_HOME/core/12.1.0.2.0/jdk/jre/lib/security/cacerts -storepass changeit
| 注意: |
AgentTrust.jks、パスワードはwelcomeです。いずれも変更できません。 truststoreを変更してからEnterprise Managerエージェントを再起動します。$ keytool -import -alias tuxedo -file tuxedo.cer -keystore AgentTrust.jks
Enter keystore password:
Owner: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Issuer: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Serial number: 4fab2940
Valid from: Thu May 10 10:34:40 CST 2012 until: Tue May 09 10:34:40 CST 2017
Certificate fingerprints:
MD5: 63:E2:6E:93:AD:5A:7F:21:CB:3C:51:3F:8C:92:AA:0D
SHA1: 77:D2:86:4F:74:A3:84:64:A0:5B:CA:50:7A:EF:66:DC:7F:92:83:0F
Signature algorithm name: SHA1withRSA
Version: 3
Trust this certificate? [no]: yes
Certificate was added to keystore
$ keytool -list -v -keystore AgentTrust.jks
Enter keystore password:
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 11 entries
...
Alias name: tuxedo
Creation date: May 10, 2012
Entry type: trustedCertEntry
Owner: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Issuer: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Serial number: 4fab2940
Valid from: Thu May 10 10:34:40 CST 2012 until: Tue May 09 10:34:40 CST 2017
Certificate fingerprints:
MD5: 63:E2:6E:93:AD:5A:7F:21:CB:3C:51:3F:8C:92:AA:0D
SHA1: 77:D2:86:4F:74:A3:84:64:A0:5B:CA:50:7A:EF:66:DC:7F:92:83:0F
Signature algorithm name: SHA1withRSA
Version: 3
tlistenを起動します。keystore/trustoreが変更された後、tlisten/EMエージェント/OMSを再起動します。
この項では、いくつかの典型的なデプロイメント事例を詳述して、異なる状況でのEnterprise Manager for Oracle Tuxedoのデプロイ方法について説明します。
| 注意: | Enterprise Manager for Oracle Tuxedoのモニタリング環境のすべてのノード(Tuxedoアプリケーション、Enterprise Managerエージェント、Enterprise Manager OMS、Enterprise Managerリポジトリが実行中であるマシンを含む)では、これらのクロックを同期させることを強くお薦めします。 |
図1に、Enterprise Manager for Oracle Tuxedoの典型的なデプロイメント・シナリオを示します。
Enterprise Repositoryエージェントが、Tuxedoドメインが実行中である特定のプラットフォームをサポートする場合、パフォーマンスとセキュリティを考慮して、Tuxedoドメインをモニターする個々の物理マシンにEnterprise Repositoryエージェントをデプロイすることをお薦めします。
図2に、TuxedoドメインがEnterprise Repositoryエージェントによってリモートでモニターされているシナリオを示します。このデプロイメント・トポロジは、Enterprise RepositoryエージェントよりもTuxedoでサポートされるプラットフォームで役立ちます。
場合によっては、次の理由により、1台の物理マシンに複数のtlistenインスタンスをデプロイする必要があります。
図3では、1台の物理マシンに複数のtlistenプロセスをデプロイする方法を示します。なお、ローカルとリモートのどちらで実行されていても、各tlistenプロセスは、異なるEnterprise Repositoryエージェントに相互接続できます。
JMXエージェントが埋め込まれたtlistenプロセスは、同時に複数のEnterprise Repositoryエージェントと相互接続が可能です。図4は、マシン2で実行中のtlistenプロセスが、EnterpriseManagerエージェント1およびEnterpriseManagerエージェント2によって同時に接続されモニターされていることを示しています。
このシナリオでは、 tlistenプロセスに関連するEnterprise RepositoryエージェントとTuxedoドメインを2つのグループに分離できます(たとえば、EnterpriseManagerエージェント1にTuxドメイン2をモニターさせ、EnterpriseManagerエージェント2にTuxドメイン3をモニターさせます)。
また、EnterpriseManagerエージェント1およびEnterpriseManagerエージェント2に、同時にTuxドメイン2とTuxドメイン3の両方をモニターさせることもできます。
JMXは広く使用されサポートされるJREの標準であるため、いくつかのサード・パーティ製のJMXクライアントまたはJMXコネクタは潜在的にEnterprise Manager for Oracle Tuxedoによってサポートされています。これにより、Tuxedoのモニタリングと管理の機能をより柔軟に利用できます。
| 注意: | このシナリオでは、Enterprise Manager for Oracle Tuxedoがアクティブ・ドメインを検出すると、後でそのドメインが停止しても、(tlistenが再起動されるまで)Enterprise Manager for Oracle Tuxedoはそのドメインを検出し続けます。 |
  
|