OKM は、KMA、エージェント、およびワークステーション間の接続に TCP/IP ネットワーキング (デュアルスタック IPv4 および IPv6脚注 1 ) を使用します。各 KMA には次のものに対するネットワーク接続があります。
管理ネットワークは、ピアツーピアレプリケーションのため、KMA を OKM GUI およびクラスタ内のほかの KMA に接続します。管理ネットワークはローカル、リモート、または両者の組み合わせのいずれでもかまいません。お客様が管理ネットワークを提供することが期待されます。最適なレプリケーションとパフォーマンスを得るためにギガビット Ethernet 接続を使用してください。
セキュリティーを追加し、LAN トラフィックを切り離すために、Virtual Local Area Network (VLAN) を使用して管理ネットワークへ接続することが必要な場合があります。
サービスネットワークは KMA をエージェントに接続します。これは、ほかのネットワークトラフィックからの鍵の取得を分離します。
KMA のサービスネットワークインタフェースは、オプションで集約できます (KMA サービスポートのアグリゲーションを参照)。
サービスプロセッサ接続は、Netra SPARC T4-1 サーバー上の Integrated Lights Out Manager (ILOM) または Sun Fire サーバー上の Embedded Lights Out Manager (ELOM) にアクセスするためのものです。Oracle サポート担当者が、最初の KMA セットアップで ILOM/ELOM にアクセスします。
サービスプロセッサネットワーク (ELOM または ILOM) では、スパニングツリーをオフまたは無効にする必要があります。
KMA をプライベートサービスネットワーク上のテープドライブに接続するには、管理されたスイッチを推奨します。管理されたスイッチは、管理されていないテープドライブスイッチおよび広域サービスネットワーク用のルーターへの接続を提供します。
管理されたスイッチでは、優れたスイッチ診断およびサービスネットワークのトラブルシューティングによりサービス性が向上され、冗長接続およびスパニングツリープロトコルの使用によって、サービスネットワークでの単一点障害を最小限にできます。
Oracle では、次のものをテストおよび推奨し、構成ガイドダンスを提供します。
3COM スイッチ 4500G 24 ポート (3CR17761-91)
Extreme Networks Summit X150-24t
Brocade ICX 6430
物理的な Ethernet インタフェースを 1 つの仮想インタフェースに集約できます。これらのポートを集約することで可用性が向上します。つまり、どちらかのポートで障害が発生しても他方のポートが接続を維持できます。
Ethernet スイッチポートが正しく構成されていることを確認してください。スイッチポートは、全二重のギガビット速度では、自動ネゴシエーションに設定する必要があります。
サービスポートのアグリゲーション構成の説明については、Oracle サポート担当者が OKM のインストールおよびサービスマニュアル (社内用) を参照できます。
サービスネットワークでネットワークアナライザを使用するために、ポートをミラー化できます。ポートは Brocade ICX 6430 スイッチ上でミラー化できます。構成の説明については、Oracle サポート担当者が OKM のインストールおよびサービスマニュアル (社内用) を参照できます。
図4-2 では:
一方の KMA または管理されたスイッチのいずれかに障害が発生しても、ドライブにはまだ他方の KMA への通信パスがあります。
管理されたスイッチは、スパニングツリー構成を必要とする冗長なパスを含む管理されていないスイッチに接続されます。(配線に冗長性があるときは必ず管理されたスイッチがスパニングツリーに対して有効になっている必要があります。)
サービスネットワークインタフェースは、1 つの仮想インタフェースに集約されます (KMA サービスポートのアグリゲーションを参照)。
KMA のルーティング構成は、テープドライブ検出要求への応答に影響します。ルーティング構成を誤ると、間違ったクラスタ情報がテープドライブに提供される可能性があります。その場合、ドライブはネットワーク経由で到達できない KMA と通信しようとすることがあります。
OKM ネットワークの計画時には、次の点を守ります。
KMA コンソールのネットワークメニューオプションを使用して、サイト間のルートを構成します。デフォルトルートは構成しないでください。
注:
マルチサイトサービスネットワークトポロジから開始することは推奨しません。マルチサイトサービスネットワークを計画するときは、KMA サービスのポートとドライブのためのサブネットアドレス指定スキームを決定します。重複したネットワークアドレスおよび 172.18.18.x ネットワークの使用は避けます (共通規則)。
デフォルトゲートウエイの設定を使用すると、フェイルオーバーの性能に影響が及ぶ場合があります。フェイルオーバー機能の計画は、ネットワークエンジニアに相談してください。
Service Delivery Platform (SDP) は、スマートアプライアンスと専用ネットワークで構成されます。これは Oracle テープライブラリおよび T シリーズドライブをモニターします。SDP はデバイスイベントを収集し、問題がある場合 Oracle Support に警告することによって、リモート診断を提供します。
KMA に接続されたデバイスと SDP 間にはファイアウォールが必要です。このファイアウォールによって、サービスネットワークが Oracle が制御するサービスネットワークと、顧客が制御するサービスネットワークの 2 つに分割されます。顧客のファイアウォールでは、SDP はモニターできるデバイスのみにアクセスできます。
重要:
ファイアウォールは、サービスネットワークの顧客制御部分のテープドライブを SDP がモニターできるように構成します。図4-3 では:
顧客のファイアウォールは、SDP アプライアンスのポート 2 に接続されます。
顧客ネットワークインタフェースは、SDP と (ネットワークに接続されたオペレーションセンター LAN に接続された) Oracle ストレージデバイスの間の接続です。これらのデバイスには、KMA に接続されたテープドライブとスイッチが含まれます。
Oracle サービスネットワークインタフェースは、SDP アプライアンスのポート 1 に接続されます。
Oracle サービスネットワークインタフェースは、SDP サイトユニットとストレージデバイスとの間の接続です。
DMZ は、SDP サイトユニットと Oracle ネットワーク (ポート 0) の間のネットワークトラフィックを保護する、SDP のセキュアネットワークアーキテクチャーです。
注:
Oracle サービス担当者は、サービスネットワークの両方のパーティションで機器サービスを提供し、SDP エンジニアと協力して計画や構成を行う必要があります。詳細は、「Service Delivery Platform Security White Paper」を参照してください。
脚注の凡例
脚注 1: すべてのアプリケーションが IPv6 (たとえば、DNS) を使用するわけではありません。そのため、まだ IPv4 が必要です。