Oracle® Fusion Middleware Oracle WebCenter Portalエンタープライズ・デプロイメント・ガイド 11gリリース1 (11.1.1.7.0) B55900-07 |
|
前 |
次 |
この章では、WebCenter Portalエンタープライズ・デプロイメント・トポロジで必要なネットワーク環境の事前構成について説明します。この章を使用して、仮想サーバー名、ロード・バランサ、IPと仮想IP、ファイアウォールおよびポートの構成を計画してください。
この章の内容は次のとおりです。
様々な種類のネットワーク・トラフィックや監視に対応するように、仮想サーバーや関連するポートをロード・バランサに構成する必要があります。これらの仮想サーバーは、サービスを実行するために適切な実際のホストおよびポートに対して構成する必要があります。また、ロード・バランサは、可用性を確保するために実際のホストおよびポートを監視するように構成し、サービスがダウンしたときにこれらのホストおよびポートへのトラフィックをできるだけ早く停止できるようにする必要があります。これによって、特定の仮想ホストの着信トラフィックが他の層の使用不可のサービスに送信されることがなくなります。
WebCenter Portalエンタープライズ・トポロジでは、次の仮想サーバー名を使用します。
仮想サーバー名がIPアドレスと関連付けられており、DNSの一部になっていることを確認してください。Oracle Fusion Middlewareを実行するノードは、これらの仮想サーバー名を解決できるようになっている必要があります。
第3.3項「ロード・バランサの構成」の手順に従って、ロード・バランサで仮想サーバー名を定義します。
注意: クライアントがアクセスする唯一の仮想サーバーの名前は外部向けの |
wcp.mycompany.com
は、soa-infra、ワークフロー、SpacesアプリケーションなどのランタイムSOA SuiteコンポーネントおよびWebCenter PortalコンポーネントへのすべてのHTTPトラフィックのアクセス・ポイントとして動作する仮想サーバー名です。SSLへのトラフィックが構成されます。クライアントはwcp.mycompany.com:443
のアドレスを使用してこのサービスにアクセスします。
この仮想サーバーは、ロード・バランサで定義されます。
admin.mycompany.com
は、WebLogic管理サーバー・コンソールやOracle Enterprise Managerなどの管理サービスに転送されるすべての内部HTTPトラフィックのアクセス・ポイントとして動作する仮想サーバー名です。
クライアントからの入力トラフィックは、SSL対応ではありません。クライアントはadmin.mycompany.com:80
のアドレスを使用してこのサービスにアクセスします。そして、リクエストは、WEBHOST1とWEBHOST2のポート7777に転送されます。
この仮想サーバーは、ロード・バランサで定義されます。
wcpinternal.mycompany.com
は、Oracle WebCenter Portalサービスの内部起動に使用される仮想サーバー名です。このURLはインターネットに公開されずに、イントラネットからのみアクセスできます。
クライアントからの入力トラフィックは、SSL対応ではありません。クライアントはwcpinternal.mycompany.com:80
のアドレスを使用してこのサービスにアクセスし、リクエストは、WEBHOST1とWEBHOST2のポート7777に転送されます。
この仮想サーバーは、ロード・バランサで定義されます。
ロード・バランサ上には、各種のネットワーク・トラフィックおよび監視用に、いくつかの仮想サーバーおよびそれらに関連付けられたポートを構成する必要があります。これらは、実際のホストおよびポートに対して適切に構成し、サービスが継続されるようにする必要があります。また、ロード・バランサは、可用性を確保するために実際のホストおよびポートを監視するように構成し、サービスがダウンしたときにこれらのホストおよびポートへのトラフィックをできるだけ早く停止できるようにする必要があります。これによって、特定の仮想ホストの着信トラフィックが他の層の使用不可のサービスに送信されることがなくなります。
推奨トポロジ内には、2つのロード・バランサ・デバイスがあります。一方のロード・バランサは外部HTTPトラフィック用に設定し、もう一方のロード・バランサは内部LDAPトラフィック用に設定します。様々な理由から、デプロイメントで使用されるロード・バランサ・デバイスが1つになる場合があります。このような構成もサポートされていますが、これに伴うセキュリティへの影響を考慮する必要があります。その構成が適切であることがわかったら、様々なDMZ間のトラフィックを許可するように、関連するファイアウォール・ポートを開いてください。いずれの場合も、特定のロード・バランサ・デバイスをフォルト・トレラント・モードでデプロイすることを強くお薦めします。
このエンタープライズ・トポロジは外部のロード・バランサを使用します。第3.2項「トポロジで使用する仮想サーバー名」で説明する仮想サーバー名を定義して、ロード・バランサを構成します。
ロード・バランサの詳細は、第2.1.3項「Web層ノードについて」を参照してください。
このエンタープライズ・デプロイメント・トポロジでは外部のロード・バランサを使用します。この外部ロード・バランサは次の機能を備えている必要があります。
仮想ホスト名を使用してトラフィックを実際のサーバーのプールにロード・バランシングする機能: クライアントは仮想ホスト名を使用してサービスにアクセスします(実際のホスト名は使用しない)。これにより、ロード・バランサは、プール内のサーバーに対するリクエストをロード・バランシングできます。
ポート変換の構成。
ポート(HTTPおよびHTTPS)の監視。
仮想サーバーとポートの構成: 外部ロード・バランサの仮想サーバー名とポートを構成する機能。さらに、仮想サーバー名とポートは次の要件を満たしている必要があります。
ロード・バランサは複数の仮想サーバーの構成が可能である必要がある。各仮想サーバーに対し、ロード・バランサには2つ以上のポートでトラフィック管理を構成できることが必要です。たとえば、Oracle WebLogic Serverクラスタの場合は、1つの仮想サーバーとHTTPおよびHTTPSの両トラフィック用のポートを指定してロード・バランサを構成する必要があります。
仮想サーバー名をIPアドレスに関連付け、DNSに含める必要があります。クライアントは仮想サーバー名を使用して外部ロード・バランサにアクセスできる必要があります。
ノード障害を検出し、障害が発生したノードへのトラフィックのルーティングを即座に停止する機能。
リソースの監視、ポートの監視およびプロセスの障害の検出: ロード・バランサは、通知などの方法を使用してサービスやノードの障害を検出し、障害が発生したノードへのOracle Net以外のトラフィックの送信を停止できる必要があります。ご使用の外部ロード・バランサに障害の自動検出機能がある場合、これを使用する必要があります。
フォルト・トレラント・モード: ロード・バランサをフォルト・トレラント・モードに構成することを強くお薦めします。
その他: トラフィックの転送先となるバックエンド・サービスが使用できない場合、コール元のクライアントに即座に戻るようにロード・バランサの仮想サーバーを構成することを強くお薦めします。この構成は、クライアント・マシンのTCP/IP設定に基づいてタイムアウト後にクライアント側で接続を切断する構成よりも推奨されます。
SSLアクセラレーション: この機能は必須です。
TCP接続の接続タイムアウトに大きい値を使用したディレクトリ層に対するロード・バランサでの1つ以上の仮想サーバーの構成。この値は、Oracle Access Managerとディレクトリ層の間でトラフィックがない場合に、その予想される最大時間より大きい必要があります。
クライアントIPアドレスを保持する機能: ロード・バランサには、リクエストの元のクライアントIPアドレスをX-Forwarded-For HTTPヘッダーに挿入し、クライアントIPアドレスを保持する機能がある必要があります。
Oracle Technology Networkには、検証されたロード・バランサとその構成の一覧(http://www.oracle.com/technetwork/middleware/ias/tested-lbr-fw-sslaccel-100648.html
)が用意されています。
ロード・バランサの構成手順は、ロード・バランサのタイプにより異なります。実際の手順については、ベンダーが提供するマニュアルを参照してください。一般的な構成フローを次に示します。
サーバーのプールを作成します。このプールには、ロード・バランサの定義に含まれるサーバーのリストおよびポートが含まれます。
たとえば、Webホスト間のロード・バランシングでは、ポート7777上でホストWEBHOST1とWEBHOST2にリクエストを転送するサーバーのプールを作成します。
特定のホストとサービスが利用可能かどうかを判別するルールを作成し、手順1で作成したサーバーのプールに割り当てます。
ロード・バランサ上に仮想サーバーを作成します。
これは、アプリケーションにより使用されるリクエストを受信するアドレスとポートです。たとえば、Web層リクエストをロード・バランシングするには、wcp.mycompany.com:443
に対する仮想ホストを作成します。
ロード・バランサでサポートされている場合は、仮想サーバーが内部から、外部から、またはその両方から利用できるのかどうかを指定します。内部アドレスはネットワーク内からのみ解決可能であることを確認します。
適用可能な場合は、仮想サーバーに対するSSL終端を構成します。
手順1で作成したサーバーのプールを仮想サーバーに割り当てます。
表3-4に従って、タイムアウト設定を調整します。これには、サービスが停止しているかどうかを検出する時間も含まれます。
Oracle HTTP Serverノードを監視してノードの障害を検出するように構成します。
「/
」のURLコンテキストに定期的にpingを実行するように監視を設定します。
ヒント: Oracle HTTP Serverのドキュメント・ルートに |
ping実行間隔については、システムに負荷を与えないように値を指定します。とりあえず5秒で試してみることができます。
タイムアウト時間については、使用するOracle WebCenter Portalシステムで予測できる最長レスポンス時間に相当する値を指定します(つまり、HTTPサーバーへのリクエストに必要な最長所要時間より大きな値を指定します)。
(オプション)Oracle WebCenter Contentを使用している場合は、ロード・バランサのWebCenter Contentソケット(ポート4444)を設定する必要があります。詳細は、第13.4項「WebCenter Contentトラフィックをルーティングするためのロード・バランサの構成」を参照してください。
WebCenter Portalエンタープライズ・デプロイメントでは、表3-1に示すようにロード・バランサを構成します。
表3-1 ロード・バランサの構成
仮想ホスト | サーバー・プール | プロトコル | SSL終端 | 外部 | 必要なその他の構成/コメント |
---|---|---|---|---|---|
|
|
HTTP |
いいえ |
いいえ |
|
|
|
HTTP |
いいえ |
はい |
|
|
|
HTTP |
いいえ |
いいえ |
|
図3-1に示すように、異なる仮想IPと物理IPでリスニングするように、管理サーバーと管理対象サーバーを構成してください。図に示すように、各VIPとIPは、使用するWebLogic Serverに割り当てられます。VIP1に障害が発生すると、手動で管理サーバーがSOAHOST2で再起動します。Oracle WebLogic Serverの移行機能により、VIP2とVIP3がそれぞれ、SOAHOST1からSOAHOST2にフェイルオーバーし、SOAHOST2からSOAHOST1にフェイルオーバーします。WebLogic Serverの移行機能の詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。
物理IP(仮想IPでない)が各ノードに固定的に割り当てられます。
IP1はSOAHOST1の物理IPで、WLS_WSM1 Webサービス・ポリシー・マネージャのサーバーで使用されます。
IP2はSOAHOST2の物理IPで、WLS_WSM2 WebServicesポリシー・マネージャのサーバーで使用されます。
IP3はWCPHOST1の物理IPであり、すべてのWebCenter Portalサーバー(WC_Spaces1、WC_Portlets1、WC_Collaboration1、WC_Utilities1およびClusterInst1)で使用されます。
IP4はWCPHOST2の物理IPであり、すべてのWebCenter Portalサーバー(WC_Spaces2、WC_Portlets2、WC_Collaboration2、WC_Utilities2およびClusterInst2)によって使用されます。
表3-2には、様々な仮想ホストの説明が記載されています。
表3-2 仮想ホスト
仮想IP | VIPのマップ先 | 説明 |
---|---|---|
VIP1 |
ADMINVHN |
ADMINVHNは、管理サーバーのリスニング・アドレスである仮想ホスト名であり、管理サーバーの手動フェイルオーバーによりフェイルオーバーします。これは、管理サーバーのプロセスが実行されているノード(デフォルトはSOAHOST1)で有効にされます。 |
VIP2 |
SOAHOST1VHN1 |
SOAHOST1VHN1は、WLS_SOA1のリスニング・アドレスにマップし、この管理対象サーバーのサーバー移行によりフェイルオーバーする、仮想ホストの名前です。これは、WLS_SOA1プロセスが実行されているノード(デフォルトはSOAHOST1)で有効化されます。 |
VIP3 |
SOAHOST2VHN1 |
SOAHOST2VHN1は、WLS_SOA2のリスニング・アドレスにマップし、この管理対象サーバーのサーバー移行によりフェイルオーバーする、仮想ホストの名前です。これは、WLS_SOA2プロセスが実行されているノード(デフォルトはSOAHOST2)で有効化されます。 |
この手順は、他のOracle Fusion Middlewareコンポーネントを後でインストールするかしないかに関係なく、WebLogic Server管理サーバーのフェイルオーバーを行うために必要です。
管理サーバーを仮想IPアドレスに関連付けます。これにより、プライマリ・ホストで障害が発生した場合に別のホスト上で管理サーバーを起動することが可能になります。
表3-3に示すように仮想ホストが有効になっていることを確認します。
表3-3 仮想ホスト
VIP | 有効化されるホスト |
---|---|
ADMINVHN.mycompany.com |
SOAHOST1 |
SOAHOST1VHN1.mycompany.com |
SOAHOST1 |
SOAHOST2VHN1.mycompany.com |
SOAHOST2 |
注意: これは、浮動IPアドレスに関連付けられているDNS名です。これは、ロード・バランサ上で構成される仮想ホストのDNS名ではありません。 |
Linuxの場合
root
としてifconfig
コマンドを実行します。
/sbin/ifconfig interface:index IPAddress netmask netmask /sbin/arping -q -U -c 3 -I interface IPAddress
ここでinterfaceはeth0
またはeth1
であり、indexは0
、1
または2
です。
次に例を示します。
/sbin/ifconfig ethX:Y 100.200.140.206 netmask 255.255.255.0
次の例のように、ネットワークで仮想IPの新しい場所を登録できるようにします。
/sbin/arping -q -U -c 3 -I ethX 100.200.140.206
別のノードからこのアドレスをpingして、このアドレスが使用可能であることを検証します。次の例を示します。
/bin/ping 100.200.140.206
この例で、ethX
はイーサネット・インタフェース(eth0
またはeth1
)、Y
はインデックス(0、1、2
)です。
Windowsの場合
次のコマンドを実行します。
netsh interface ip add address interface IP_Address netmask
ここで、IP_Addressは、仮想IPアドレスです。また、netmaskは、関連付けられたネットマスクです。
次の例では、IPアドレスはインタフェースLocal Area Connection
上で有効になります。
netsh interface ip add address "Local Area connection" 100.200.140.206 255.255.255.0
多くのOracle Fusion Middlewareコンポーネントおよびサービスはポートを使用します。管理者は、これらのサービスが使用するポート番号を把握し、同じポート番号が1つのホスト上の2つのサービスによって使用されないようにする必要があります。
ほとんどのポート番号はインストール中に割り当てられます。
表3-4に、トポロジのファイアウォールで開く必要のあるポートを含むWebCenter Portalトポロジで使用されるポートの一覧を示します。
ファイアウォール表記法:
FW0は外側のファイアウォールを示します。
FW1は、Web層とアプリケーション層との間におけるファイアウォールを示します。
FW2は、アプリケーション層とデータ層との間におけるファイアウォールを示します。
注意: ファイアウォール・ポートはTCP/IPポートの定義によって異なります。 |
表3-4 使用されるポート
タイプ | ファイアウォール | ポートとポート範囲 | プロトコル/アプリケーション | インバウンド/アウトバウンド | その他の考慮事項とタイムアウトのガイドライン |
---|---|---|---|---|---|
ブラウザによるリクエスト |
FW0 |
80 |
HTTP/ロード・バランサ |
インバウンド |
タイムアウトは、WebCenter Portalによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
ブラウザによるリクエスト |
FW0 |
443 |
HTTPS/ロード・バランサ |
インバウンド |
タイムアウトは、WebCenter Portalによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
ブラウザによるリクエスト |
FW1 |
80 |
HTTPS/ロード・バランサ |
アウトバウンド(イントラネット・クライアントの場合) |
タイムアウトは、SOAによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
ブラウザによるリクエスト |
FW1 |
443 |
HTTPS/ロード・バランサ |
アウトバウンド(イントラネット・クライアントの場合) |
タイムアウトは、SOAによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
コールバックおよびアウトバウンド起動 |
FW1 |
80 |
HTTPS/ロード・バランサ |
アウトバウンド |
タイムアウトは、SOAによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
コールバックおよびアウトバウンド起動 |
FW1 |
443 |
HTTPS/ロード・バランサ |
アウトバウンド |
タイムアウトは、SOAによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
Oracle HTTP Serverへのロード・バランサ |
該当なし |
7777 |
HTTP |
該当なし |
第3.3項「ロード・バランサの構成」を参照してください。 |
管理サーバーによるOHS登録 |
FW1 |
7001 |
HTTP/t3 |
インバウンド |
タイムアウトを短い時間(5から10秒)に設定します。 |
管理サーバーによるOHS管理 |
FW1 |
OPMNポート(6701)とOHS管理ポート(7779) |
それぞれTCPとHTTP |
アウトバウンド |
タイムアウトを短い時間(5から10秒)に設定します。 |
WSM-PMのアクセス |
FW1 |
7010 範囲: 7010から7999 |
HTTP/WLS_WSM-PMn |
インバウンド |
タイムアウトを60秒に設定します。 |
複数のWSMクラスタ・メンバー間における通信 |
該当なし |
7010 |
TCP/IPユニキャスト |
該当なし |
デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。 |
Spaces_Clusterメンバー間の通信 |
該当なし |
9000 |
TCP/IPユニキャスト |
該当なし |
デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。 |
Portlet_Clusterメンバー間の通信 |
該当なし |
9001 |
TCP/IPユニキャスト |
該当なし |
デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。 |
Collab_Clusterメンバー間の通信 |
該当なし |
9002 |
TCP/IPユニキャスト |
該当なし |
デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。 |
Utilities_Clusterメンバー間の通信 |
該当なし |
9003 |
TCP/IPユニキャスト |
該当なし |
デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。 |
FW1 |
16200 |
HTTP / WLS_WCCn |
インバウンド |
ブラウザ・ベースでアクセスします。セッション・タイムアウトを構成します。 |
|
WCC_Clusterメンバー間の通信 |
該当なし |
16200 |
TCP/IPユニキャスト |
該当なし |
デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。 |
WebLogic Serverクラスタ内におけるセッション・レプリケーション |
該当なし |
該当なし |
該当なし |
該当なし |
該当なし |
管理コンソールのアクセス |
FW1 |
7001 |
HTTP/管理サーバーとEnterprise Manager t3 |
両方 |
管理コンソールへのアクセスのタイプ(アプリケーション層のクライアントからOracle WebLogic Server管理コンソールを使用する予定があるか、またはアプリケーション層の外部のクライアントから使用する予定があるか)に基づいてこのタイムアウト時間をチューニングする必要があります。 |
ノード・マネージャ |
該当なし |
5556 |
TCP/IP |
該当なし |
該当なし 実際の値は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のファイアウォールとポートに関する項を参照してください。 |
アクセス・サーバーのアクセス |
FW1 |
6021 (OAM 10g) 5575 (OAM 11g) |
OAP |
インバウンド |
実際の値は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のファイアウォールとポートに関する項を参照してください。 |
アイデンティティ・サーバーのアクセス |
FW1 |
6022 |
OAP |
インバウンド |
|
データベースのアクセス |
FW2 |
1521 |
SQL*Net |
両方 |
タイムアウトは、WebCenter Portalによって使用されるプロセス・モデルのタイプとすべてのデータベース・コンテンツによって異なります。 |
Oracle Notification Server(ONS) |
FW2 |
6200 |
ONS |
両方 |
Gridlink用に必要。各データベース・サーバー上でONSサーバーが実行されます。 |
Oracle Internet Directoryのアクセス |
FW2 |
389 |
LDAP |
インバウンド |
ロード・バランサに基づいてディレクトリ・サーバーのパラメータをチューニングする必要があります。それ以外の方法ではチューニングしないでください。 |
Oracle Internet Directoryのアクセス |
FW2 |
636 |
LDAP SSL |
インバウンド |
ロード・バランサに基づいてディレクトリ・サーバーのパラメータをチューニングする必要があります。それ以外の方法ではチューニングしないでください。 |
FW2 |
4444 |
TCP/IPソケット |
該当なし |
永続的に接続されます。タイムアウトは構成可能です。 |
|
FW2 |
5555 |
TCP/IPソケット |
該当なし |
該当なし |
|
OWSM用JOC |
該当なし |
9991 |
TCP/IP |
該当なし |
該当なし |
デプロイメントの一貫性 |
該当なし |
8088 範囲: 8000から8090 |
該当なし |
該当なし |