| Oracle® Fusion Middleware Oracle WebCenter Contentエンタープライズ・デプロイメント・ガイド 11g リリース1 (11.1.1) B66703-06 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebCenter Contentエンタープライズ・デプロイメント・ガイド 11g リリース1 (11.1.1) B66703-06 |
|
前 |
次 |
この章では、Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジで必要なネットワーク環境の事前構成について説明します。この章を使用して、仮想サーバー名、ロード・バランサ、IPアドレス、仮想IPアドレス、ファイアウォールおよびポートの構成を計画してください。
この章には次の項が含まれます:
様々な種類のネットワーク・トラフィックや監視に対応するように、仮想サーバーや関連するポートをロード・バランサに構成する必要があります。これらの仮想サーバーは、サービスを実行するために適切な実際のホストおよびポートに対して構成する必要があります。また、ロード・バランサは、可用性を確保するために実際のホストおよびポートを監視するように構成し、サービスがダウンしたときにこれらのホストおよびポートへのトラフィックをできるだけ早く停止できるようにする必要があります。これによって、特定の仮想ホストの着信トラフィックが他の層の使用不可のサービスに送信されることがなくなります。
Oracle WebCenter Contentエンタープライズ・トポロジでは、次の仮想サーバー名を使用します。
仮想サーバー名がIPアドレスと関連付けられており、DNSの一部になっていることを確認してください。Oracle Fusion Middlewareを実行するノードは、これらの仮想サーバー名を解決できるようになっている必要があります。
第3.3項「ロード・バランサ」の手順に従って、ロード・バランサで仮想サーバー名を定義します。
アドレスadmin.mycompany.comは、すべての内部HTTPトラフィックのアクセス・ポイントとして機能する仮想サーバー名です。このトラフィックは、管理サービス(Oracle WebLogic Server管理コンソールやOracle Enterprise Manager Fusion Middleware Controlなど)に転送されます。
クライアントからの入力トラフィックは、SSL対応ではありません。クライアントはadmin.mycompany.com:80のアドレスを使用してこのサービスにアクセスします。そして、リクエストは、WEBHOST1とWEBHOST2のポート7777に転送されます。
アドレスwcc.mycompany.comは、ランタイムOracle WebCenter ContentコンポーネントへのすべてのHTTPトラフィックのアクセス・ポイントとして動作する仮想サーバー名です。SSLへのトラフィックが構成されます。クライアントは、HTTP用のアドレスwcc.mycompany.com:443を使用してこのサービスにアクセスします。
アドレスwccinternal.mycompany.comは、SOAおよびWebCenter Contentサービスの内部起動に使用される仮想サーバー名です。このURLはインターネットに公開されずに、イントラネットからのみアクセスできます。Oracle SOA Suiteシステムでは、内部サービスの起動に使用するURLと同様に、コンポジットのモデリングの際またはFusion Middleware Controlを介した適切なMBeanによる実行時に、ユーザーはこのURLを設定できます。このURLは、Oracle SOA SuiteからWebCenter Contentコンポーネントへの任意のサービス・コールバックに使用できます。
クライアントからの入力トラフィックは、SSL対応ではありません。クライアントはwccinternal.mycompany.com:80のアドレスを使用してこのサービスにアクセスし、リクエストはWEBHOST1とWEBHOST2のポート7777に転送されます。
アドレスucminternal.mycompany.comは、ランタイムOracle WebCenter Contentコンポーネントへのすべての内部Remote Intradoc Client (RIDC) TCPトラフィックのアクセス・ポイントとして動作する仮想サーバー名です。ImagingやCaptureなどのアプリケーションは、RIDC接続用のアドレスucminternal.mycompany.com:6300を使用してこのサービスにアクセスします。またリクエストは、WCCHOST1およびWCCHOST2上のポート4444に転送されます。
ロード・バランサ上には、各種のネットワーク・トラフィックおよび監視用に、いくつかの仮想サーバーおよびそれらに関連付けられたポートを構成する必要があります。これらは、実際のホストおよびポートに対して適切に構成し、サービスが継続されるようにする必要があります。また、ロード・バランサは、可用性を確保するために実際のホストおよびポートを監視するように構成し、サービスがダウンしたときにこれらのホストおよびポートへのトラフィックをできるだけ早く停止できるようにする必要があります。これによって、特定の仮想ホストの着信トラフィックが他の層の使用不可のサービスに送信されることがなくなります。
推奨トポロジ内には、2つのロード・バランサ・デバイスがあります。一方のロード・バランサは外部HTTPトラフィック用に設定し、もう一方のロード・バランサは内部LDAPトラフィック用に設定します。様々な理由から、デプロイメントで使用されるロード・バランサ・デバイスが1つになる場合があります。このような構成もサポートされていますが、これに伴うセキュリティへの影響を考慮する必要があります。その構成が適切であることがわかったら、様々なDMZ間のトラフィックを許可するように、関連するファイアウォール・ポートを開いてください。いずれの場合も、特定のロード・バランサ・デバイスをフォルト・トレラント・モードでデプロイすることを強くお薦めします。
このエンタープライズ・トポロジは外部のロード・バランサを使用します。第3.2項「トポロジで使用する仮想サーバー名」で説明する仮想サーバー名を定義して、ロード・バランサを構成します。
ロード・バランサの詳細は、第2.1.3項「Oracle Web層ノードについて」を参照してください。
エンタープライズ・トポロジでは、外部のロード・バランサを使用します。この外部ロード・バランサは次の機能を備えている必要があります。
仮想ホスト名を使用してトラフィックを実際のサーバーのプールにロード・バランシングする機能: クライアントは仮想ホスト名を使用してサービスにアクセスします(実際のホスト名は使用しない)。これにより、ロード・バランサは、プール内のサーバーに対するリクエストをロード・バランシングできます。
ポート変換の構成。
ポート(HTTPおよびHTTPS)の監視。
仮想サーバーとポートの構成: 外部ロード・バランサの仮想サーバー名とポートを構成する機能。さらに、仮想サーバー名とポートは次の要件を満たしている必要があります。
ロード・バランサは複数の仮想サーバーの構成が可能である必要がある。各仮想サーバーに対し、ロード・バランサには2つ以上のポートでトラフィック管理を構成できることが必要です。たとえば、Oracle WebLogic Serverクラスタの場合、ロード・バランサでは、HTTPとHTTPSのトラフィックに対して仮想サーバーとポートで構成されている必要があります。
仮想サーバー名をIPアドレスに関連付け、DNSに含める必要があります。クライアントは仮想サーバー名を使用して外部ロード・バランサにアクセスできる必要があります。
ノード障害を検出し、障害が発生したノードへのトラフィックのルーティングを即座に停止する機能。
リソースの監視、ポートの監視およびプロセスの障害の検出: ロード・バランサは、通知などの方法を使用してサービスやノードの障害を検出し、障害が発生したノードへのOracle Net以外のトラフィックの送信を停止できる必要があります。ご使用の外部ロード・バランサに障害の自動検出機能がある場合、これを使用する必要があります。
フォルト・トレラント・モード: ロード・バランサをフォルト・トラレント・モードに構成することを強くお薦めします。
その他: トラフィックの転送先となるバックエンド・サービスが使用不可の場合に、即座にコール元クライアントに戻るようにロード・バランサの仮想サーバーを構成しておくことを強くお薦めします。これは、クライアントのマシンにおけるTCP/IP設定に基づいてタイムアウト後にクライアントを切断する方法よりも望ましい構成です。
SSLの高速化: この機能は必須です。
TCP接続の接続タイムアウトに大きい値を使用したディレクトリ層に対するロード・バランサでの1つ以上の仮想サーバーの構成。この値は、Oracle Access Managerとディレクトリ層の間でトラフィックがない場合に、その予想される最大時間より大きい必要があります。
クライアントIPアドレスを保持する機能: ロード・バランサには、リクエストの元のクライアントIPアドレスをX-Forwarded-For HTTPヘッダーに挿入し、クライアントIPアドレスを保持する機能が必要です。
Oracle Technology Networkには、検証されたロード・バランサとその構成の一覧(http://www.oracle.com/technetwork/middleware/ias/tested-lbr-fw-sslaccel-100648.html)が用意されています。
ロード・バランサの構成手順は、ロード・バランサの特定のタイプによって異なります。実際の手順は、ベンダーが提供するドキュメントを参照してください。次の手順では、一般的な構成フローを示します。
Oracle HTTP ServerノードにHTTP監視を構成してノードの障害を検出します。
「/」のURLコンテキストに定期的にpingを実行するように監視を設定します。
|
ヒント: Oracle HTTP Serverのドキュメント・ルートに |
ping実行間隔については、システムに負荷を与えないように値を指定します。とりあえず5秒で試してみることができます。
タイムアウト時間については、使用するWebCenter Contentシステムで予測できる最長レスポンス時間に相当する値を指定します。つまり、HTTPサーバーへのリクエストに必要な最長所要時間より大きな値を指定します。
WCCHOSTnノードにTCP/IP監視を構成してノードの障害を検出します。
監視はハーフ・オープン・タイプのTCP接続にする必要があります。
監視はOracle WebCenter Content Serverのポート4444で5秒おきにノードをpingする必要があります(タイムアウト値は16秒)。
サーバーのプールを作成し、手順1で作成したHTTP監視をこのプールに割り当てます。このプールには、ロード・バランシングの定義に含まれているサーバーとポートのリストが格納されます。たとえば、webホスト間のロード・バランシングの場合、ポート7777のWEBHOST1およびWEBHOST2の両ホストにリクエストを送信するサーバーのプールを作成します。
同様に、サーバーのプールを作成し、手順2で作成したTCP/IP監視をこのプールに割り当てます。これによりRIDCリクエストがホストWCCHOST1およびWCCHOST2のポート4444に転送されます。
特定のホストおよびサービスが使用可能かどうかを判断し、手順3で示されたサーバーのプールに割り当てるルールを作成します。
ロード・バランサにadmin.mycompany.com:80の仮想サーバーを構成し、この仮想サーバーに対して次のルールを定義します。
この仮想サーバーでは、内部管理アドレスを仮想サーバーのアドレス(admin.mycompany.com)として使用します。このアドレスは一般的に外部化されません。
HTTPをプロトコルとして指定します。
ポート80でこの仮想サーバーを構成します。ポート80で受信するHTTPリクエストはすべて、HTTPノードのポート7777にリダイレクトされる必要があります。
アドレスとポートの変換を有効にします。
サービスまたはノード、あるいはその両方が停止した場合に接続のリセットを有効にします。
必要に応じて、この仮想サーバーの/consoleと/emのみへのアクセスを許可するルールを作成します。
手順3で作成したプールを仮想サーバーに割り当てます。
ロード・バランサにwccinternal.mycompany.com:80の仮想サーバーを構成し、この仮想サーバーに対して次のルールを定義します。
Oracle WebCenter Contentの内部アドレスを仮想サーバーのアドレス(wccinternal.mycompany.com)として使用します。このアドレスは一般的に外部化されません。
HTTPをプロトコルとして指定します。
ポート80でこの仮想サーバーを構成します。ポート80で受信するHTTPリクエストはすべて、HTTPノードのポート7777にリダイレクトされる必要があります。
アドレスとポートの変換を有効にします。
サービスまたはノード、あるいはその両方が停止した場合に接続のリセットを有効にします。
手順3で作成したプールを仮想サーバーに割り当てます。
この仮想サーバーの/consoleと/emへのアクセスを除外するルールを作成します。
ロード・バランサにucminternal.mycompany.com:6300の仮想サーバーを構成し、この仮想サーバーに対して次のルールを定義します。
内部アドレス(ucminternal.mycompany.com)を仮想サーバー・アドレスとして使用します。このアドレスは一般的に外部化されません。
TCP/IPをプロトコルとして指定します。
ポート6300でこの仮想サーバーを構成します。ポート6300で受信するRIDCリクエストはすべて、コンテンツ・サーバーのノードのポート4444にリダイレクトされる必要があります。
アドレスとポートの変換を有効にします。
サービスまたはノード、あるいはその両方が停止した場合に接続のリセットを有効にします。
手順3で作成した、RIDCリクエスト用のプールを仮想サーバーに割り当てます。
第8.5項「仮想ホストの定義」のとおりに仮想ホストを構成すると、仮想ホスト名アドレスへのアクセスが可能になります。アクセスできない場合は、その手順が正しく完了していることを確認します。
図3-1に示すように、異なる物理IPアドレスと仮想IPアドレスでリスニングするように、管理サーバーと管理対象サーバーを構成してください。図に示すように、各IPアドレスと仮想IPアドレスは、使用するOracle WebLogic Serverに割り当てられます。VIP1に障害が発生すると、手動で管理サーバーがWCCHOST2で再起動します。Oracle SOA SuiteとImagingを使用するように構成している場合、Oracle WebLogic Serverの移行機能によって、WLS_SOA1はVIP2を使用してWCCHOST1からWCCHOST2に、WLS_SOA2はVIP3を使用してWCCHOST2からWCCHOST1にそれぞれフェイルオーバーします。また、サーバー移行によって、WLS_IMG1はVIP4を使用してWCCHOST1からWCCHOST2に、WLS_IMG2はVIP5を使用してWCCHOST2からWCCHOST1にそれぞれフェイルオーバーします。同様に、WLS_CPT1とWLS_CPT2はそれぞれVIP6とVIP7を使用してフェイルオーバーします。
WebLogic Serverの移行機能の詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。
(仮想ではない)物理IPアドレスが、各ノードに固定的に割り当てられます。IP1はWCCHOST1の物理IPアドレスで、WLS_WCC1サーバーによりリスニング・アドレスとして使用されます。IP2はWCCHOST2の物理IPアドレスで、WLS_WCC2サーバーによりリスニング・アドレスとして使用されます。
仮想IPアドレスdb-scan.mycompany.comは、GridLinkデータ・ソースのデータベースOracle Single Client Access Name (SCAN)のアドレスです。
表3-1に、仮想IPアドレスがマップされる各種仮想ホストの説明を示します。
表3-1 仮想IPアドレスにマップされる仮想ホスト
| 仮想IPアドレス | 仮想ホスト名 | 説明 |
|---|---|---|
|
VIP1 |
ADMINVHNは、管理サーバーのリスニング・アドレスである仮想ホスト名であり、管理サーバーの手動フェイルオーバーによりフェイルオーバーします。管理サーバーのプロセスが実行されているノード(デフォルトはWCCHOST1)で有効化されます。 |
|
|
VIP2 |
WCCHOST1VHN1は、WLS_SOA1のリスニング・アドレスにマップし、この管理対象サーバーのサーバー移行によりフェイルオーバーする仮想ホストの名前です。これは、WLS_SOA1プロセスが実行されているノード(デフォルトはWCCHOST1)で有効化されます。 |
|
|
VIP3 |
WCCHOST2VHN1は、WLS_SOA2のリスニング・アドレスにマップし、この管理対象サーバーのサーバー移行によりフェイルオーバーする仮想ホストの名前です。これは、WLS_SOA2プロセスが実行されているノード(デフォルトはWCCHOST2)で有効化されます。 |
|
|
VIP4 |
WCCHOST1VHN2は、WLS_IMG1のリスニング・アドレスにマップし、この管理対象サーバーのサーバー移行によりフェイルオーバーする仮想ホストの名前です。これは、WLS_IMG1プロセスが実行されているノード(デフォルトはWCCHOST1)で有効化されます。 |
|
|
VIP5 |
WCCHOST2VHN2は、WLS_IMG2のリスニング・アドレスにマップし、この管理対象サーバーのサーバー移行によりフェイルオーバーする仮想ホストの名前です。これは、WLS_IMG2プロセスが実行されているノード(デフォルトはWCCHOST2)で有効化されます。 |
|
|
VIP6 |
WCCHOST1VHN3は、WLS_CPT1のリスニング・アドレスにマップし、この管理対象サーバーのサーバー移行によりフェイルオーバーする仮想ホストの名前です。これは、WLS_CPT1プロセスが実行されているノード(デフォルトはWCCHOST1)で有効化されます。 |
|
|
VIP7 |
WCCHOST2VHN3は、WLS_CPT2のリスニング・アドレスにマップし、この管理対象サーバーのサーバー移行によりフェイルオーバーする仮想ホストの名前です。これは、WLS_CPT2プロセスが実行されているノード(デフォルトはWCCHOST2)で有効化されます。 |
|
|
|
|
多くのOracle Fusion Middlewareコンポーネントおよびサービスはポートを使用します。管理者は、これらのサービスが使用するポート番号を把握し、同じポート番号が1つのホスト上の2つのサービスによって使用されないようにする必要があります。
ほとんどのポート番号はインストール中に割り当てられます。
表3-2には、Oracle WebCenter Contentトポロジで使用されるポートの一覧が記載されているほか、トポロジのファイアウォール上で開く必要のあるポートも記載されています。
ファイアウォール表記法:
FW0は外側のファイアウォールを示します。
FW1は、Oracle Web層とアプリケーション層との間におけるファイアウォールを示します。
FW2は、アプリケーション層とデータ層との間におけるファイアウォールを示します。
表3-2 使用されるポート
| タイプ | ファイアウォール | ポートとポート範囲 | プロトコル/アプリケーション | インバウンド/アウトバウンド | その他の考慮事項とタイムアウトのガイドライン |
|---|---|---|---|---|---|
|
ブラウザによるリクエスト |
FW0 |
80 |
HTTP/ロード・バランサ |
インバウンド |
タイムアウトは、Oracle SOA Suiteによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
|
ブラウザによるリクエスト |
FW0 |
443 |
HTTPS/ロード・バランサ |
インバウンド |
タイムアウトは、Oracle SOA Suiteによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
|
ブラウザによるリクエスト |
FW1 |
80 |
HTTP/ロード・バランサ |
アウトバウンド(イントラネット・クライアント) |
タイムアウトは、Oracle SOA Suiteによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
|
ブラウザによるリクエスト |
FW1 |
443 |
HTTPS/ロード・バランサ |
アウトバウンド(イントラネット・クライアント) |
タイムアウトは、Oracle SOA Suiteによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
|
コールバックおよびアウトバウンド呼出し |
FW1 |
80 |
HTTP/ロード・バランサ |
アウトバウンド |
タイムアウトは、Oracle SOA Suiteによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
|
コールバックおよびアウトバウンド呼出し |
FW1 |
443 |
HTTPS/ロード・バランサ |
アウトバウンド |
タイムアウトは、Oracle SOA Suiteによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
|
Oracle Notification Server (ONS) |
FW2 |
6200 |
ONS |
両方 |
Gridlinkには両方必要です。ONSサーバーは各データベース・サーバー上で稼働します。 |
|
n/a |
7777 |
HTTP |
n/a |
第3.3項「ロード・バランサ」を参照してください。 |
|
|
FW1 |
6300 |
TCP/IPユニキャスト |
n/a |
永続的に接続されます。 |
|
|
管理サーバーによるOHS登録 |
FW1 |
7001 |
HTTP/t3 |
インバウンド |
タイムアウトを短い時間(5から10秒)に設定します。 |
|
管理サーバーによるOHS管理 |
FW1 |
OPMNポート(6701)とOHS管理ポート(7779) |
それぞれTCPとHTTP |
アウトバウンド |
タイムアウトを短い時間(5から10秒)に設定します。 |
|
FW1 |
8001 範囲: 8000から8080 |
HTTP / WLS_SOAn |
インバウンドおよびアウトバウンド |
タイムアウトは、Oracle SOA Suiteによって使用されるプロセス・モデルのタイプによって異なります。 |
|
|
FW1 |
16200 |
HTTP / WLS_WCCn |
インバウンド |
ブラウザ・ベースでアクセスします。セッション・タイムアウトを構成します。 |
|
|
FW1 |
16000 |
HTTP / WLS_IMGn |
インバウンド |
ブラウザ・ベースでアクセスします。セッション・タイムアウトを構成します。 |
|
|
FW1 |
16400 |
HTTP / WLS_CPTn |
インバウンド |
ブラウザ・ベースでアクセスします。セッション・タイムアウトを構成します。 |
|
|
Oracle WebCenter ContentへのImagingによる接続 |
FW1 |
6300 |
TCP/IPユニキャスト |
n/a |
永続的に接続されます。コンテンツ・サーバーのタイムアウトを構成できます。 |
|
SOA_Clusterメンバー間の通信 |
n/a |
8001 |
TCP/IPユニキャスト |
n/a |
デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。 |
|
WCC_Clusterメンバー間の通信 |
n/a |
16200 |
TCP/IPユニキャスト |
n/a |
デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。 |
|
IMG_Clusterメンバー間の通信 |
n/a |
16000 |
TCP/IPユニキャスト |
n/a |
デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。 |
|
CPT_Clusterメンバー間の通信 |
n/a |
16400 |
TCP/IPユニキャスト |
n/a |
デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。 |
|
WebLogic Serverクラスタ内におけるセッション・レプリケーション |
n/a |
n/a |
n/a |
n/a |
デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。 |
|
FW1 |
7001 |
HTTP / 管理サーバーおよびOracle Enterprise Manager Fusion Middleware Control t3 |
両方 |
管理コンソールへのアクセスのタイプ(アプリケーション層のクライアントまたはアプリケーション層の外部のクライアントからWebLogic Server管理コンソールを使用する予定があるかどうか)に基づいてタイムアウト時間をチューニングする必要があります。 |
|
|
n/a |
5556 |
TCP/IP |
n/a |
n/a 実際の値は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のファイアウォールとポートの構成に関する項を参照してください。 |
|
|
アクセス・サーバーのアクセス |
FW1 |
5575 6021 |
OAP |
インバウンド |
実際の値は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のファイアウォールとポートの構成に関する項を参照してください。 |
|
アイデンティティ・サーバーへのアクセス(Oracle Access Manager 10g) |
FW1 |
6022 |
OAP |
インバウンド |
|
|
FW2 |
1521 |
SQL*Net |
両方 |
タイムアウトは、Oracle SOA Suiteによって使用されるプロセス・モデルのタイプとすべてのデータベース・コンテンツによって異なります。 |
|
|
デプロイメントの一貫性 |
n/a |
8088 範囲: 8000から8090 |
n/a |
n/a |
|
|
Oracle Internet Directoryのアクセス |
FW2 |
389 |
LDAP |
インバウンド |
ロード・バランサに基づいてディレクトリ・サーバーのパラメータをチューニングする必要があります。それ以外の方法ではチューニングしないでください。 |
|
Oracle Internet Directoryのアクセス |
FW2 |
636 |
LDAP SSL |
インバウンド |
ロード・バランサに基づいてディレクトリ・サーバーのパラメータをチューニングする必要があります。それ以外の方法ではチューニングしないでください。 |
|
OWSM用JOC |
n/a |
9991 範囲: 9988から9998 |
TCP/IP |
n/a |
n/a |
|
ブラウザによるリクエスト |
n/a |
16250 16250 |
HTTP / WLS_IBRn |
n/a |
ブラウザ・ベースでアクセスします。セッション・タイムアウトを構成します。 |
|
注意: ファイアウォール・ポートはTCP/IPポートの定義によって異なります。 |
