Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
前 |
次 |
この章では、ExalogicハードウェアでのOracle Identity and Access Managementデプロイメント・トポロジについて概説します。これらのトポロジは、第1章「標準的なエンタープライズ・デプロイメントの理解」で説明した概念の具体的な参照用実装です。
プライマリOracle Identity and Access Management Exalogicエンタープライズ・トポロジのダイアグラム
サーバー移行によるOracle Identity and Access Managementエンタープライズ・トポロジの高可用性化について
このドキュメントでは、読者がExalogicを理解していることを前提にしています。Exalogicの機能の詳細が必要な場合は、使用するExalogicのリリースの『Exalogicエンタープライズ・デプロイメント・ガイド』を参照してください。
Oracle Exalogicは、Oracleの高可用性および高パフォーマンスの統合ハードウェア・アプライアンスです。Oracle Fusion MiddlewareコンポーネントをOracle Exalogicにデプロイすると、優れたネットワーキング機能を利用できるため、アプリケーションのスループットが向上します。さらに、WebLogic Serverは、Oracle Exalogic上でより高速に実行するための最適化をいくつか備えています。これらの最適化によって、デプロイされたアプリケーションのスループットをさらに増加できます。
Oracle IAMをExalogicにデプロイすると、最大の可用性とパフォーマンスを提供する高可用性インフラストラクチャが実現します。
このガイドでは、ExalogicにおけるOracle Identity and Access Management (IAM) Suiteの3つのプライマリ参照用トポロジを中心に説明しています。各トポロジにインストールされるコンポーネントは基本的に同じです。これらのトポロジは、仮想Exalogicデプロイメントに適している分散トポロジ、および物理Exalogicデプロイメントに適している統合トポロジであるプラットフォーム・トポロジによく似ています。ただし、3番目のトポロジがあり、これは、Exalogicにインストールされたコンポーネントと、Exalogicマシン外のコモディティ・ハードウェアにインストールされたコンポーネント(Web層など)を使用するハイブリッド・トポロジです。
組織でインストールおよび構成するOracle Identity and Access Managementトポロジは、正確にはこの3つのプライマリ・トポロジと異なる可能性がありますが、このガイドでは、これらのトポロジのインストールおよび構成の詳細な手順を説明します。インストールおよび構成プロセスを単純にするために、このガイドではOracle IAMデプロイメント・ウィザードを使用します。ウィザードでトポロジのレイアウト方法を設定すると、トポロジの大部分が自動的に構成されます。
デプロイメントの作成後、このガイドでは、デプロイメントを拡張してIAM製品を追加する手順を説明します。さらに、このドキュメントで説明する手順はすべてのIAM製品をカバーしていませんが、これらの手順は他のIAM製品に簡単に適用できます。
この項では、Oracle IAM Exalogicトポロジのダイアグラムを示します。
この項では、次の項目について説明します。
第3.3.1項「物理ExalogicでのOracle Identity and Access Managementのダイアグラム」
第3.3.2項「仮想ExalogicでのOracle Identity and Access Managementのダイアグラム」
第3.3.3項「外部Web層を含むOracle Identity and Access Managementのダイアグラム」
第3.3.4項「プライマリOracle Identity and Access Managementトポロジ・ダイアグラムの理解」
図3-1は、Oracle Identity and Access Managementの統合トポロジを示しています。
図3-2は、Oracle Identity and Access Managementの分散トポロジを示しています。
図3-3は、外部Web層を含むOracle Identity and Access Managementの統合トポロジを示しています。
この項では、プライマリOracle Identity and Access Managementトポロジ・ダイアグラムについて説明します。
この項では、次の項目について説明します。
Oracle Identity and Access Managementデプロイメントは、複数のコンポーネントで構成されています。次のコンポーネントが含まれます。
Webサーバー
WebLogic
LDAP - LDAPコールを行う目的で内部サーバーがアクセスする仮想IPアドレスを管理します。
LDAP仮想IPアドレスでリクエストを受信し、IPoIBネットワークを使用して、実行中のLDAPインスタンスにそのリクエストを渡します。
データベース
アクセス・ドメインとガバナンス・ドメインについて
図3-1、図3-2および図3-3は、各コンポーネント間の分離を示しています。さらに、WebLogicコンポーネントは、IAMAccessDomainおよびIAMGovernanceDomainの2つのWebLogicドメインに分割されています。製品は次のように配置されています。
IAMAccessDomainには、Oracle Access Manager、Oracle Mobile Security Suiteが含まれます。
IAMGovernanceDomainには、Oracle Identity Manager、Oracle Business Intelligenceが含まれます。
このように分割されているのは、各コンポーネントで要求される操作要件および可用性要件が異なるためです。通常、IAMAccessDomain内のコンポーネントの可用性要件は、IAMGovernanceDomain内のコンポーネントより高くなります。これらのコンポーネントを分離することによって、可用性要件を別々に管理できます。アクセス・コンポーネントとは関係なくガバナンス・コンポーネントにパッチを適用でき、アクセス・コンポーネントに影響を与えずにガバナンス・インスタンスを停止できます。
この分離は、多くの場合Web層およびアプリケーション層のコンポーネントとは別の時点にリリースされるディレクトリ層にも拡張できます。ディレクトリの分離によって、ドメインの分割と同様の利点(独立したアップグレードやパッチ適用など)を得られます。
この分離による更なる利点は、トポロジをモジュラ形式で構築できることです。ディレクトリから開始してアクセス・コンポーネントに拡張し、後でガバナンス・コンポーネントに拡張すると、これらを接続しないかぎり、デプロイされているソフトウェア、または既存のコンポーネントの構成に影響を与えません。
ディレクトリ層は、LDAP対応ディレクトリがインストールされている2つの物理ホスト・コンピュータで構成されています。通常、これはOracle Internet Directory (OID)またはOracle Unified Directory (OUD)です。
多くの場合、ディレクトリ層はデータ層に結合されています。
このリリースのエンタープライズ・デプロイメント・ガイドでは、3つの異なるLDAPディレクトリをサポートしています。これらのディレクトリを最初に作成するか、または組織内の既存のディレクトリを使用できます。サポートされている3つのディレクトリは次のとおりです。
Oracle Unified Directory (OUD)
Oracle Internet Directory(OID)
Microsoft Active Directory (AD)
選択するディレクトリは組織によって異なります。
ExalogicにOracle Identity and Access Managementをデプロイすると、ほとんどのコンポーネント(すべてではありません)はExalogicアプライアンス内にインストールされます。第1章「標準的なエンタープライズ・デプロイメントの理解」で説明したように、標準的なエンタープライズ・デプロイメントは様々な層に分散されます。ハードウェアのコンポーネントはExalogicアプライアンスに組み込まれているため、使用可能な層の数が減少します。
ExalogicアプライアンスがExadataアプライアンスにリンクされている場合、アプリケーション層またはディレクトリ層は必要ありません。ExalogicがExadataにリンクされている場合、データベース層はExadataに移動されます。
プラットフォーム・デプロイメントとExalogicデプロイメントの2番目の主な違いは、ExalogicデプロイメントではOracle HTTP serverのかわりにOracle Traffic Directorを使用していることです。Exalogicデプロイメントにおいて、Oracle Traffic Directorは複数の役割を実行します。Exalogicアプライアンス外に公開されないための内部トラフィックのロード・バランサ、およびWebサーバーとして機能します。
外部Web層を使用する場合、Oracle Traffic DirectorのWebサービス特性を使用する必要はありません。
Oracle ExalogicにOracle Fusion Middlewareをデプロイすると、多くの組込みWebLogic最適化にアクセスできます。これによって、Fusion Middlewareデプロイメントでいくつかの組込みExalogicテクノロジを使用でき、パフォーマンスが向上します。
Exalogicの中心となる利点は、高速かつ柔軟なネットワークです。Oracle IAMをExalogicにデプロイするときは、Oracle Exalogicのネットワーキングの使用方法を検討する必要があります。
Exalogicアプライアンス内には3タイプのネットワークがあります。
IPoIB - これは、Exalogicアプライアンスの内部コンポーネントを接続する内部Infinibandネットワークです。このネットワークは高速ですが、外部には接続できません。このネットワークの利点は、このネットワークを使用すると外部に対してネットワーク・トラフィックをプライベートにできることです。このネットワークを使用する際の短所は、外部コンポーネントがExalogicアプライアンス内のアプリケーション・コンポーネントにアクセスする必要があることです。
EoIB - このネットワークもExalogic Infinibandネットワークを使用しますが、このネットワークは標準的な社内ネットワークにアクセスできます。これによって、外部コンポーネントがExalogic内のコンポーネントと直接通信できます。このネットワークは常に、ハードウェア・ロード・バランサとOracle Traffic Director間の通信に使用されます。
eth0 - これは、ビルトイン・イーサネット・ネットワークを介してExalogicコンポーネントに接続するのに使用される管理ネットワークです。このネットワークは管理操作でのみ使用し、本番デプロイメントでは使用できません。Exalogicコンポーネントにログインして構成する場合に使用するのはこのネットワークです。
IAM内の一部のコンポーネントは、デフォルトで単一ネットワークでのみ通信します。たとえば、WebLogic管理対象サーバーや、Oracle Traffic Directorなどのコンポーネントは、内部ネットワークで通信します。これは、Oracle Traffic DirectorがExalogicアプライアンスに入ると、Oracle Traffic Directorがトラフィックの優先ロード・バランサになるためです。
使用するExalogicネットワークを選択する際は、次のことを考慮してください。
外部Web層の使用を計画しているかどうか。その場合は、デフォルトで、EoIBネットワーク上で機能するようにコンポーネントを構成できます。
すべてのトラフィックがOracle Traffic Directorを経由し、トラフィックが到達するとすべてのトラフィックがExalogicアプライアンス内に維持される場合は、IPoIBネットワークを使用するようにコンポーネントを構成します。
すべてのLDAPトラフィックがExalogicアプライアンス内から発生する場合は、IPoIBネットワークを使用するようにLDAPサーバーを構成します。
データベースがExadataアプライアンス内に配置され、Exalogicアプライアンスに直接接続されている場合は、IPoIBネットワークを使用します。そうでない場合は、EoIBネットワークを使用する必要があります。
注意: Oracle Access Manager管理対象サーバーは、OAMプロキシ・ポートを使用して両方のネットワークで通信するように構成できます。標準的なWebLogic管理対象サーバーは、異なるチャネルを使用して複数のネットワーク上でリスニングするように構成できます。 |
この項では、標準的なIAMネットワーク使用について説明します。内容は次のとおりです。
図3-4は、物理Exalogic環境でのIdentity and Access Managementデプロイメントの標準的なネットワーク・マップを示しています。
外部Web層を使用しない場合は、すべてのコンポーネントが内部IPoIBネットワークを使用するように構成できます。Oracle Traffic DirectorおよびMSASは、リクエストをEoIBネットワーク上で受け取り、IPoIBネットワークを使用してWebLogicおよびLDAPに渡すように構成されます。
表3-1 Exalogicの物理IPアドレスのワークシート
このガイドにおけるホスト名の例 | インタフェース | IPアドレス/サブネット | 実際の値 | タイプ | ホスト | バインド | 詳細 |
---|---|---|---|---|---|---|---|
IAMHOST1 |
bond0 |
192.168.10.1/255.255.224.0 |
IPoIB/固定 |
ComputNode1/IAMHOST1 |
NA |
内部IPoIBネットワークを使用してIAMHOST1にアクセスします。 |
|
IAMHOST2 |
bond0 |
192.168.10.2/255.255.224.0 |
IPoIB/固定 |
ComputNode2/IAMHOST2 |
NA |
内部IPoIBネットワークを使用してIAMHOST2にアクセスします。 |
|
OTDADMINVHN |
bond1:1 |
10.10.30.1/255.255.224.0 |
EoIB/浮動 |
ComputNode1/IAMHOST1 |
OTD管理サーバー |
手動でOTD管理サーバーをIAMHOST1からIAMHOST2に移行する場合、管理サーバーに浮動Pアドレスを使用することをお薦めします。 |
|
IADADMINVHN |
bond1:2 |
10.10.30.2/255.255.224.0 |
EoIB/浮動 |
ComputNode2/IAMHOST1 |
IAMAccessDomain管理サーバー |
手動で管理サーバーをIAMHOST1からIAMHOST2に移行する場合、IAMAccessDomain管理サーバーに浮動Pアドレスを使用することをお薦めします。 |
|
IGDADMINVHN |
bond1:3 |
10.10.30.3/255.255.224.0 |
EoIB/浮動 |
ComputNode1/IAMHOST1 |
IAMGovernanceDomain管理サーバー |
手動で管理サーバーをIAMHOST1からIAMHOST2に移行する場合、IAMGovernanceDomain管理サーバーに浮動Pアドレスを使用することをお薦めします。 |
|
WEBHOST1VHN |
OTD |
10.10.50.1/255.255.224.0 |
EoIB/浮動 |
ComputNode1/IAMHOST1 |
OTD - IAMHOST1 |
OTDで管理される浮動IPアドレス。これは、ロード・バランサが接続するIPアドレスです。 これは推奨しますがオプションです。 |
|
WEBHOST2VHN |
OTD |
10.10.50.2/255.255.224.0 |
EoIB/浮動 |
ComputNode2/IAMHOST2 |
OTD - IAMHOST2 |
OTDで管理される浮動IPアドレス。これは、ロード・バランサが接続するIPアドレスです。 これは推奨しますがオプションです。 |
|
OIMHOST1VHN1 |
bond0:1 |
192.168.30.1/255.255.240.0 |
IPoIB/浮動 |
ComputNode1/IAMHOST1 |
WLS_OIM1デフォルト・チャネル |
IAMHOST1で最初に有効にされていると、サーバー移行によりIAMHOST2にフェイルオーバーできます。 |
|
OIMHOST2VHN1 |
bond0:1 |
192.168.30.2/255.255.240.0 |
|
IPoIB/浮動 |
ComputNode2/IAMHOST2 |
WLS_OIM2デフォルト・チャネル |
IAMHOST2で最初に有効にされていると、サーバー移行によりIAMHOST1にフェイルオーバーできます。 |
OIMHOST1VHN2 |
bond0:2 |
192.168.30.3/255.255.240.0 |
IPoIB/浮動 |
ComputNode1/IAMHOST1 |
WLS_SOA1デフォルト・チャネル |
IAMHOST1で最初に有効にされていると、サーバー移行によりIAMHOST2にフェイルオーバーできます。 |
|
OIMHOST2VHN2 |
bond0:2 |
192.168.30.4/255.255.240.0 |
IPoIB/浮動 |
ComputNode2/IAMHOST2 |
WLS_SOA2デフォルト・チャネル |
IAMHOST2で最初に有効にされていると、サーバー移行によりIAMHOST1にフェイルオーバーできます。 |
|
OIMHOST1VHN3 |
bond 0:3 |
192.168.30.5/255.255.240.0 |
IPoIB/浮動 |
ComputeNode1/IAMHOST1 |
WLS_BI1デフォルト・チャネル |
IAMHOST2で最初に有効にされていると、サーバー移行によりIAMHOST1にフェイルオーバーできます |
|
OIMHOST2VHN3 |
bond 0:3 |
192.168.30.6/255.255.240.0 |
IPoIB/浮動 |
ComputeNode2/IAMHOST2 |
WLS_BI1デフォルト・チャネル |
IAMHOST1で最初に有効にされていると、サーバー移行によりIAMHOST2にフェイルオーバーできます |
|
IAMHOST1EXT |
bond1 |
10.10.10.1/255.255.240.0 |
EoIB/固定 |
ComputNode1/IAMHOST1 |
NA |
計算ノードが外部社内ネットワーク(EoIB)でアクセスすることが可能な固定IP |
|
IAMHOST2EXT |
bond1 |
10.10.10.2/255.255.240.0 |
EoIB/固定 |
ComputNode2/IAMHOST2 |
NA |
計算ノードが外部社内ネットワーク(EoIB)でアクセスすることが可能な固定IP |
|
IGDINTERNAL |
OTD |
192.168.50.1/255.255.224.0 |
IPoIB/浮動 |
ComputNode1/IAMHOST1 |
NA |
SOAのOracle Traffic Directorフェイルオーバー・グループ |
|
IADINTERNAL |
OTD |
192.168.50.2/255.255.224.0 |
IPoIB/浮動 |
ComputNode2/IAMHOST2 |
NA |
MSMのOracle Traffic Directorフェイルオーバー・グループ |
|
IDSTORE |
OTD |
192.168.50.3/255.255.224.0 |
IPoIB/浮動 |
ComputNode2/IAMHOST2 |
NA |
LDAPのOracle Traffic Directorフェイルオーバー・グループ |
図3-5は、仮想Exalogic環境でのIdentity and Access Managementデプロイメントの標準的なネットワーク・マップを示しています。
外部Web層を使用しない場合は、すべてのコンポーネントが内部IPoIBネットワークを使用するように構成できます。Oracle Traffic DirectorおよびMSASは、リクエストをEoIBネットワーク上で受け取り、IPoIBネットワークを使用してWebLogicおよびLDAPに渡すように構成されます。
表3-2 Exalogicの仮想IPアドレスのワークシート
このガイドにおけるホスト名の例 | インタフェース | IPアドレス/サブネット | 実際の値 | タイプ | ホスト | バインド | 詳細 |
---|---|---|---|---|---|---|---|
WEBHOST1 |
bond0 |
192.168.2.1/255.255.224.0 |
IPoIB/固定 |
vServer1/WEBHOST1 |
NA |
内部IPoIBネットワーク経由でvServer11/WEBHOST1にアクセスします。 |
|
WEBHOST2 |
bond0 |
192.168.2.2/255.255.224.0 |
IPoIB/固定 |
vServer2/WEBHOST2 |
NA |
内部IPoIBネットワーク経由でvServer2/WEBHOST2にアクセスします。 |
|
OAMHOST1 |
bond0 |
192.168.2.3/255.255.224.0 |
IPoIB/固定 |
vServer3/OAMHOST1 |
NA |
内部IPoIBネットワーク経由でvServer3/OAMHOST1にアクセスします。 |
|
OAMHOST2 |
bond0 |
192.168.2.4/255.255.224.0 |
IPoIB/固定 |
vServer4/OAMHOST2 |
NA |
内部IPoIBネットワーク経由でvServer4/OAMHOST2にアクセスします。 |
|
OIMHOST1 |
bond0 |
192.168.10.5/255.255.224.0 |
IPoIB/固定 |
vServer5/OIMHOST1 |
NA |
内部IPoIBネットワーク経由でvServer5/OIMHOST1にアクセスします。 |
|
OIMHOST2 |
bond0 |
192.168.10.6/255.255.224.0 |
IPoIB/固定 |
vServer6/OIMHOST2 |
NA |
内部IPoIBネットワーク経由でvServer6/OIMHOST2にアクセスします。 |
|
LDAPHOST1 |
bond0 |
192.168.10.7/255.255.224.0 |
IPoIB/固定 |
vServer7/LDAPHOST1 |
NA |
内部IPoIBネットワーク経由でvServer7/LDAPHOST1にアクセスします。 |
|
LDAPHOST2 |
bond0 |
192.168.10.8/255.255.224.0 |
IPoIB/固定 |
vServer8/LDAPHOST2 |
NA |
内部IPoIBネットワーク経由でvServer8/LDAPHOST2にアクセスします。 |
|
OTDADMINVHN |
bond1:1 |
10.10.30.1/255.255.224.0 |
EoIB/浮動 |
vServer1/WEBHOST1 |
OTD管理サーバー |
手動でOTD管理サーバーをWEBHOST1からWEBHOST2に移行する場合、管理サーバーに浮動Pアドレスを使用することをお薦めします。 |
|
IADADMINVHN |
bond1:1 |
10.10.30.2/255.255.224.0 |
EoIB/浮動 |
vServer3/OAMHOST1 |
IAMAccessDomain管理サーバー |
手動で管理サーバーをOAMHOST1からOAMHOST2に移行する場合、IAMAccessDomain管理サーバーに浮動Pアドレスを使用することをお薦めします。 |
|
IGDADMINVHN |
bond1:1 |
10.10.30.3/255.255.224.0 |
EoIB/浮動 |
vServer5/OIMHOST1 |
IAMGovernanceDomain管理サーバー |
手動で管理サーバーをOIMHOST2からOIMHOST1に移行する場合、IAMGovernanceDomain管理サーバーに浮動Pアドレスを使用することをお薦めします。 |
|
WEBHOST1VHN1 |
OTD |
10.10.50.1/255.255.224.0 |
EoIB/浮動 |
vServer1/WEBHOST1 |
OTD - WEBHOST1 |
OTDで管理される浮動IPアドレス。これは、ロード・バランサが接続するIPアドレスです。これはオプションです。 |
|
WEBHOST2VHN1 |
OTD |
10.10.50.2/255.255.224.0 |
EoIB/浮動 |
vServer2/WEBHOST2 |
OTD - WEBHOST2 |
OTDで管理される浮動IPアドレス。これは、ロード・バランサが接続するIPアドレスです。 これはオプションです。 |
|
OIMHOST1VHN1 |
bond0:1 |
192.168.30.1/255.255.240.0 |
IPoIB/浮動 |
vServer5/OIMHOST1 |
WLS_OIM1デフォルト・チャネル |
OIMHOST1で最初に有効にされていると、サーバー移行によりOIMHOST2にフェイルオーバーできます。 |
|
OIMHOST2VHN1 |
bond0:1 |
192.168.30.2/255.255.240.0 |
IPoIB/浮動 |
vServer6/OIMHOST2 |
WLS_OIM2デフォルト・チャネル |
OIMHOST2で最初に有効にされていると、サーバー移行によりOIMHOST1にフェイルオーバーできます。 |
|
OIMHOST1VHN2 |
bond0:2 |
192.168.30.3/255.255.240.0 |
IPoIB/浮動 |
vServer5/OIMHOST1 |
WLS_SOA1デフォルト・チャネル |
OIMHOST1で最初に有効にされていると、サーバー移行によりOIMHOST2にフェイルオーバーできます。 |
|
OIMHOST2VHN2 |
bond0:2 |
192.168.30.4/255.255.240.0 |
IPoIB/浮動 |
vServer6/OIMHOST2 |
WLS_SOA2デフォルト・チャネル |
OIMHOST2で最初に有効にされていると、サーバー移行によりOIMHOST1にフェイルオーバーできます。 |
|
OIMHOST1VHN3 |
bond0:3 |
192.168.30.5/255.255.224.0 |
IPoIB/浮動 |
vServer5/OIMHOST1 |
WLS_BI1デフォルト・チャネル |
OIMHOST1で最初に有効にされていると、サーバー移行によりOIMHOST2にフェイルオーバーできます。 |
|
OIMHOST2VHN3 |
bond 0:3 |
192.168.30.6/255.255.224.0 |
IPoIB/浮動 |
vServer6/OIMHOST2 |
WLS_BI2デフォルト・チャネル |
OIMHOST2で最初に有効にされていると、サーバー移行によりOIMHOST1にフェイルオーバーできます。 |
|
WEBHOST1-EXT |
bond1 |
10.10.10.1/255.255.240.0 |
EoIB/固定 |
vServer1/WEBHOST1 |
NA |
外部ロード・バランサによるvServerへのアクセスを許可する固定IP |
|
WEBHOST2-EXT |
bond1 |
10.10.10.2/255.255.240.0 |
EoIB/固定 |
vServer2/WEBHOST2 |
NA |
外部ロード・バランサによるvServerへのアクセスを許可する固定IP |
|
WEBHOST1-STOR |
bond3 |
192.168.32.1/255.255.240.0 |
IPoIB/固定 |
vServer1/WEBHOST1 |
NA |
内部ネットワークを使用してvServerによるZFSストレージ・アプライアンスへの接続を許可する固定IPアドレス。 |
|
WEBHOST2-STOR |
bond3 |
192.168.32.2/255.255.240.0 |
IPoIB/固定 |
vServer2/WEBHOST2 |
NA |
内部ネットワークを使用してvServerによるZFSストレージ・アプライアンスへの接続を許可する固定IPアドレス。 |
|
OAMHOST1-STOR |
bond3 |
192.168.32.3/255.255.240.0 |
IPoIB/固定 |
vServer3/OAMHOST1 |
NA |
内部ネットワークを使用してvServerによるZFSストレージ・アプライアンスへの接続を許可する固定IPアドレス。 |
|
OAMHOST2-STOR |
bond3 |
192.168.32.4/255.255.240.0 |
IPoIB/固定 |
vServer4/OAMHOST2 |
NA |
内部ネットワークを使用してvServerによるZFSストレージ・アプライアンスへの接続を許可する固定IPアドレス。 |
|
OIMHOST1-STOR |
bond3 |
192.168.32.5/255.255.240.0 |
IPoIB/固定 |
vServer5/OIMHOST1 |
NA |
内部ネットワークを使用してvServerによるZFSストレージ・アプライアンスへの接続を許可する固定IPアドレス。 |
|
OIMHOST2-STOR |
bond3 |
192.168.32.6/255.255.240.0 |
IPoIB/固定 |
vServer6/OIMHOST2 |
NA |
内部ネットワークを使用してvServerによるZFSストレージ・アプライアンスへの接続を許可する固定IPアドレス。 |
|
LDAPHOST1-STOR |
bond3 |
192.168.32.7/255.255.240.0 |
IPoIB/固定 |
vServer7/LDAPHOST1 |
NA |
内部ネットワークを使用してvServerによるZFSストレージ・アプライアンスへの接続を許可する固定IPアドレス。 |
|
LDAPHOST2-STOR |
bond3 |
192.168.32.8/255.255.240.0 |
IPoIB/固定 |
vServer8/LDAPHOST2 |
NA |
内部ネットワークを使用してvServerによるZFSストレージ・アプライアンスへの接続を許可する固定IPアドレス。 |
|
OAMHOST1-DATA |
bond4 |
192.168.10.3/255.255.240.0 |
IPoIB/固定 |
vServer3/OAMHOST1 |
NA |
デフォルトの内部ネットワークを使用してvServerによるExadataアプライアンスへの接続を許可する固定IPアドレス。 |
|
OAMHOST2-DATA |
bond4 |
192.168.10.4/255.255.240.0 |
IPoIB/固定 |
vServer4/OAMHOST2 |
NA |
デフォルトの内部ネットワークを使用してvServerによるExadataアプライアンスへの接続を許可する固定IPアドレス。 |
|
OIMHOST1-DATA |
bond4 |
192.168.10.5/255.255.240.0 |
IPoIB/固定 |
vServer5/OIMHOST1 |
NA |
デフォルトの内部ネットワークを使用してvServerによるExadataアプライアンスへの接続を許可する固定IPアドレス。 |
|
OIMHOST2-DATA |
bond4 |
192.168.10.6/255.255.240.0 |
IPoIB/固定 |
vServer6/OIMHOST2 |
NA |
デフォルトの内部ネットワークを使用してvServerによるExadataアプライアンスへの接続を許可する固定IPアドレス。 |
|
LDAPHOST1-DATA |
bond4 |
192.168.10.7/255.255.240.0 |
IPoIB/固定 |
vServer7/LDAPHOST1 |
NA |
デフォルトの内部ネットワークを使用してvServerによるExadataアプライアンスへの接続を許可する固定IPアドレス。 |
|
LDAPHOST2-DATA |
bond4 |
192.168.10.8/255.255.240.0 |
IPoIB/固定 |
vServer8/LDAPHOST2 |
NA |
デフォルトの内部ネットワークを使用してvServerによるExadataアプライアンスへの接続を許可する固定IPアドレス。 |
|
IGDINTERNAL |
OTD |
192.168.50.1/255.255.224.0 |
IPoIB/浮動 |
vServer1/WEBHOST1 |
NA |
SOAのOracle Traffic Directorフェイルオーバー・グループ |
|
IADINTERNAL |
OTD |
192.168.50.2/255.255.224.0 |
IPoIB/浮動 |
vServer2/WEBHOST2 |
NA |
MSMのOracle Traffic Directorフェイルオーバー・グループ |
|
IDSTORE |
OTD |
192.168.50.3/255.255.224.0 |
IPoIB/浮動 |
vServer2/WEBHOST2 |
NA |
LDAPのOracle Traffic Directorフェイルオーバー・グループ |
図3-6は、外部Web層を含む物理Exalogic環境でのIdentity and Access Managementデプロイメントの標準的なネットワーク・マップを示しています。
外部Web層を使用しない場合は、すべてのコンポーネントが内部IPoIBネットワークを使用するように構成できます。Oracle Traffic DirectorおよびMSASは、リクエストをEoIBネットワーク上で受け取り、IPoIBネットワークを使用してWebLogicおよびLDAPに渡すように構成されます。
表3-3 Exalogicの物理IPアドレスのワークシート
このガイドにおけるホスト名の例 | インタフェース | IPアドレス/サブネット | 実際の値 | タイプ | ホスト | バインド | 詳細 |
---|---|---|---|---|---|---|---|
IAMHOST1 |
bond0 |
192.168.10.1/255.255.224.0 |
IPoIB/固定 |
ComputNode1/IAMHOST1 |
NA |
内部IPoIBネットワークを使用してIAMHOST1にアクセスします。 |
|
IAMHOST2 |
bond0 |
192.168.10.2/255.255.224.0 |
IPoIB/固定 |
ComputNode2/IAMHOST2 |
NA |
内部IPoIBネットワークを使用してIAMHOST2にアクセスします。 |
|
OTDADMINVHN |
bond1:1 |
10.10.30.1/255.255.224.0 |
EoIB/浮動 |
ComputNode1/IAMHOST1 |
OTD管理サーバー |
手動でOTD管理サーバーをIAMHOST1からIAMHOST2に移行する場合、管理サーバーに浮動Pアドレスを使用することをお薦めします。 |
|
IADADMINVHN |
bond1:2 |
10.10.30.2/255.255.224.0 |
EoIB/浮動 |
ComputNode2/IAMHOST1 |
IAMAccessDomain管理サーバー |
手動で管理サーバーをIAMHOST1からIAMHOST2に移行する場合、IAMAccessDomain管理サーバーに浮動Pアドレスを使用することをお薦めします。 |
|
IGDADMINVHN |
bond1:1 |
10.10.30.3/255.255.224.0 |
EoIB/浮動 |
ComputNode1/IAMHOST1 |
IAMGovernanceDomain管理サーバー |
手動で管理サーバーをIAMHOST1からIAMHOST2に移行する場合、IAMGovernanceDomain管理サーバーに浮動Pアドレスを使用することをお薦めします。 |
|
OIMHOST1VHN1 |
bond1:3 |
10.10.30.4/255.255.240.0 |
EoIB/浮動 |
ComputNode1/IAMHOST1 |
WLS_OIM1デフォルト・チャネル |
IAMHOST1で最初に有効にされていると、サーバー移行によりIAMHOST2にフェイルオーバーできます。 |
|
OIMHOST2VHN1 |
bond1:2 |
10.10.30.7/255.255.240.0 |
|
EoIB/浮動 |
ComputNode2/IAMHOST2 |
WLS_OIM2デフォルト・チャネル |
IAMHOST2で最初に有効にされていると、サーバー移行によりIAMHOST1にフェイルオーバーできます。 |
OIMHOST1VHN2 |
bond1:4 |
10.10.30.5/255.255.240.0 |
EoIB/浮動 |
ComputNode1/IAMHOST1 |
WLS_SOA1デフォルト・チャネル |
IAMHOST1で最初に有効にされていると、サーバー移行によりIAMHOST2にフェイルオーバーできます。 |
|
OIMHOST2VHN2 |
bond0:3 |
10.10.30.8/255.255.240.0 |
EoIB/浮動 |
ComputNode2/IAMHOST2 |
WLS_SOA2デフォルト・チャネル |
ComputeNode3で最初に有効にされていると、サーバー移行によりIAMHOST1にフェイルオーバーできます。 |
|
OIMHOST1VHN3 |
bond1:5 |
10.10.30.6/255.255.224.0 |
EoIB/浮動 |
ComputNode1/IAMHOST1 |
WLS_BI1デフォルト・チャネル |
IAMHOST1で最初に有効にされていると、サーバー移行によりIAMHOST2にフェイルオーバーできます。 |
|
OIMHOST2VHN3 |
bond1:4 |
10.10.30.9/255.255.224.0 |
EoIB/浮動 |
ComputNode2/IAMHOST2 |
WLS_BI1デフォルト・チャネル |
IAMHOST2で最初に有効にされていると、サーバー移行によりIAMHOST1にフェイルオーバーできます。 |
|
IAMHOST1-EXT |
bond1 |
10.10.10.1/255.255.240.0 |
EoIB/固定 |
ComputNode1/IAMHOST1 |
NA |
外部ロード・バランサによる計算ノードへのアクセスを許可する固定IP |
|
IAMHOST2-EXT |
bond1 |
10.10.10.2/255.255.240.0 |
EoIB/固定 |
ComputNode2/IAMHOST2 |
NA |
外部ロード・バランサによる計算ノードへのアクセスを許可する固定IP |
|
IDSTORE |
OTD |
192.168.50.3/255.255.224.0 |
IPoIB/浮動 |
ComputNode2/IAMHOST2 |
NA |
Oracle Unified DirectoryのOracle Traffic Directorフェイルオーバー・グループ |
サーバー間にリクエストを均等に分散して高可用性を実現するには、ハードウェア・ロード・バランサが必要です。可用性を最大化するために、ハードウェア・ロード・バランサは冗長ハードウェアに存在する必要があります。ハードウェア・ロード・バランサは、一連の仮想サーバー名を認識するように構成されます。
すべてのトラフィックがEoIBネットワークを使用するようにExalogicアプライアンスを構成した場合、ロード・バランサはプラットフォーム・デプロイメントと同じ方法で構成できます。ただし、Exalogicでは、内部コンポーネント間のロード・バランシングにOracle Traffic Directorを使用することをお薦めします。
これらのサーバー名の用途については、第1.2.3.2項「標準的なロード・バランサの仮想サーバー名のサマリー」を参照してください。
Oracle Identity and Access Managementデプロイメントのハードウェア・ロード・バランサは、次の仮想サーバー名を認識します。
login.example.com - この仮想サーバー名はすべての受信アクセス・トラフィックに使用されます。これは、ランタイムAccess ManagementコンポーネントへのすべてのHTTPトラフィックのアクセス・ポイントとして機能します。ロード・バランサは、この仮想サーバー名へのすべてのリクエストをSSLを介してルーティングします。その結果、クライアントは、次のセキュア・アドレスを使用してこのサービスにアクセスします。
login.example.com:443
外部Web層を使用する場合、この仮想ホストは外部Webサーバー間でリクエストを分散します。そうでない場合は、内部のOracle Traffic Directorサーバー間でリクエストを分散します。
prov.example.com - この仮想サーバー名はすべての受信ガバナンス・トラフィックに使用されます。これは、ランタイムAccess ManagementコンポーネントへのすべてのHTTPトラフィックのアクセス・ポイントとして機能します。ロード・バランサは、この仮想サーバー名へのすべてのリクエストをSSLを介してルーティングします。その結果、クライアントは、次のセキュア・アドレスを使用してこのサービスにアクセスします。
prov.example.com:443
外部Web層を使用する場合、この仮想ホストは外部Webサーバー間でリクエストを分散します。そうでない場合は、内部のOracle Traffic Directorサーバー間でリクエストを分散します。
以前のリリースのエンタープライズ・デプロイメント・ガイドでは、login.example.comおよびprov.example.comは同じエントリ・ポイントでした。このリリースではこれらを分離できます。これによって、ロード・バランサからのルーティング機能が向上し、モジュラ・デプロイメントが実現して、将来のマルチ・データ・センター・デプロイメントが容易になります。必要な場合は、これら2つのエントリ・ポイントを結合して、IAMデプロイメントへの単一エントリ・ポイントにすることも可能です。
msas.example.com - この仮想サーバー名はすべての受信モバイル・セキュリティ・トラフィックに使用されます。これは、ランタイム・モバイル・セキュリティ・アクセス・サービスへのすべてのHTTPSトラフィックのアクセス・ポイントとして機能します。ロード・バランサは、この仮想サーバー名へのすべてのリクエストをSSLを介してルーティングします。その結果、クライアントは、次のセキュア・アドレスを使用してこのサービスにアクセスします。
msas.example.com:9002
外部Web層を使用する場合、この仮想ホストは外部MSASサーバー間でリクエストを分散します。そうでない場合は、内部のMSASサーバー間でリクエストを分散します。
iadadmin.example.com - この仮想サーバー名は、アクセス・ドメイン内のアプリケーション層のコンポーネント間の内部通信専用であり、インターネットには公開されません。この仮想サーバーの主な用途は、Oracleモバイル・セキュリティ・マネージャへのリクエストの配信に使用されるOracle HTTP Serverとモバイル・セキュリティ・アクセス・サービスを通信可能にすること、または、この仮想サーバーを使用して、モバイル・セキュリティ・マネージャをホストするWebLogic管理対象サーバーにリクエストを直接送信することです。
クライアントからこのURLへのトラフィックは、SSL対応ではありません。クライアントは次のアドレスを使用してこのサービスにアクセスします。そして、リクエストは、WEBHOST1とWEBHOST2のポート7777に転送されます。
iadadmin.example.com:80
外部Webサーバーを使用しない場合、この仮想ホストは、ハードウェア・ロード・バランサではなくOracle Traffic Director上に構成できます。
igdadmin.example.com - この仮想サーバー名は、カバナンス・ドメイン内のアプリケーション層のコンポーネント間の内部通信専用であり、インターネットには公開されません。この仮想ホスト上でアクセスされるサービスには、WebLogic管理サーバー・コンソール、Oracle Enterprise Manager Fusion Middleware Control、Identity Managerシステム管理コンソールなどがあります。
クライアントからこのURLへのトラフィックは、SSL対応ではありません。クライアントは次のアドレスを使用してこのサービスにアクセスします。そして、リクエストは、WEBHOST1とWEBHOST2のポート7777に転送されます。
igdadmin.example.com:80
外部Webサーバーを使用しない場合、この仮想ホストは、ハードウェア・ロード・バランサではなくOracle Traffic Director上に構成できます。
igdinternal.example.com - この仮想サーバー名は、カバナンス・ドメイン内のアプリケーション層のコンポーネント間の内部通信専用であり、インターネットには公開されません。具体的には、Oracle Identity and Access Managementエンタープライズ・トポロジでは、このURLがOracle OIM SuiteとOracle SOA Suite両方の内部通信に使用されます。
クライアントからこのURLへのトラフィックは、SSL対応ではありません。クライアントは次のアドレスを使用してこのサービスにアクセスします。そして、リクエストは、WEBHOST1とWEBHOST2のポート7777に転送されます。
igdinternal.example.com:7777
外部Webサーバーを使用しない場合、この仮想ホストは、ハードウェア・ロード・バランサではなくOracle Traffic Director上に構成できます。
iadinternal.example.com - この仮想サーバー名は、アクセス・ドメイン内のアプリケーション層のコンポーネント間の内部通信専用であり、インターネットには公開されません。具体的には、Oracle Identity and Access Managementエンタープライズ・トポロジでは、モバイル・セキュリティ・アクセス・サーバーでOracleモバイル・セキュリティ・マネージャにコールバックするためにこのURLが使用されます。
クライアントからこのURLへのトラフィックは、SSL対応ではありません。クライアントは次のアドレスを使用してこのサービスにアクセスします。そして、リクエストは、WEBHOST1とWEBHOST2のポート7777に転送されます。
iadinternal.example.com:7777
外部Webサーバーを使用しない場合、この仮想ホストは、ハードウェア・ロード・バランサではなくOracle Traffic Director上に構成できます。
idstore.example.com - この仮想サーバー名はすべての受信アイデンティティ・ストア・トラフィックに使用されます。これは、LDAPディレクトリ・インスタンスへのアクセス・ポイントとして機能します。この仮想サーバーは、インターネットには公開されません。
クライアントからこのURLへのトラフィックは、使用するLDAPディレクトリのタイプに応じて、SSL対応の場合とそうでない場合があります。通常、Oracle Unified DirectoryおよびOracle Internet Directoryの場合はSSL対応ではなく、Microsoft Active Directoryの場合はSSL対応です。クライアントは次のアドレスを使用してこのサービスにアクセスし、リクエストがLDAPインスタンスに転送されます。
この仮想ホストは、ハードウェア・ロード・バランサではなくOracle Traffic Director上に構成されます。
アプリケーション層は、Oracle WebLogic Serverドメイン内の管理サーバーおよび管理対象サーバーをホストします。
選択したコンポーネントに応じて、Oracle Identity and Access Management用のOracle WebLogic Serverドメインは、表3-4に示すクラスタで構成されています。これらのクラスタは、アクティブ/アクティブ高可用性構成として機能します。
表3-4 管理対象サーバーとクラスタのサマリー
ドメイン | クラスタ | 管理対象サーバー |
---|---|---|
IAMAccessDomain |
Oracle Access Manager |
wls_oam1、wls_oam2 |
Oracle Policy Manager |
wls_ama1、wls_ama2 |
|
Oracleモバイル・セキュリティ・マネージャ |
wls_msm1、wls_msm2 |
|
IAMGovernanceDomain |
Oracle Identity Manager |
wls_oim1、wls_oim2 |
Oracle SOA Suite |
wls_soa1、wls_soa2 |
|
Oracle Business Intelligence |
wls_bi1、wls_bi2 |
選択したコンポーネントに応じて、Oracle Identity and Access Management用のOracle WebLogic Serverドメインは、上に示すクラスタで構成されています。これらのクラスタは、アクティブ/アクティブ高可用性構成として機能します。
Oracle Traffic Director (OTD)は、ロード・バランサおよびWebルーターとして機能します。OTDは完全な機能を備えたWebサーバーではありませんが、Webサーバーが担う多くのタスクを実行できます。管理サーバー、インスタンスおよびファイルオーバー・グループで構成されます。
Oracle Traffic Directorのインストールおよび構成の詳細は、第14.2項「Oracle Traffic Directorの構成」を参照してください。
この項の項目は次のとおりです。
第3.6.2項「Oracle HTTP Serverを使用したデプロイメントにおけるOracle Traffic Directorについて」
第3.6.5項「Oracle Traffic DirectorとIdentity and Access Managementについて」
Oracle Traffic DirectorはExalogicデプロイメントでのみサポートされます。次のリクエストのロード・バランシングに使用されます。
LDAP - LDAPコールを行う目的で内部サーバーがアクセスする仮想IPアドレスを管理します。
LDAP仮想IPアドレスでリクエストを受信し、IPoIBネットワークを使用して、実行中のLDAPインスタンスにそのリクエストを渡します。
内部コールバック - 内部アプリケーション・コールバックを行う目的で内部サーバーがアクセスする仮想IPアドレスを管理します。
コールバック仮想IPアドレスでリクエストを受信し、IPoIBネットワークを使用して、適切なWeblogic管理対象サーバーにそのリクエストを渡します。
ハードウェア・ロード・バランサは、リクエストをOracle Traffic Directorに送信します。
Oracle Traffic Directorは、ロード・バランサ、および他の内部アプリケーションやLDAPへのアクセスが必要な内部アプリケーションからリクエストを受信します。Oracle Traffic Directorは、これらのリクエストを受信すると、WebLogic管理対象サーバーまたはLDAPにそのリクエストを転送します。
このガイドで説明している標準的なExalogicトポロジの詳細は、第3.3項「プライマリOracle Identity and Access Management Exalogicエンタープライズ・トポロジのダイアグラム」を参照してください。
Oracle Traffic DirectorはExalogicデプロイメントでのみサポートされます。次のリクエストのロード・バランシングに使用されます。
LDAP - EoIBネットワークでハードウェア・ロード・バランサからHTTPリクエストを受信し、IPoIBネットワークでWebLogic管理対象サーバーにそのリクエストを転送します。
LDAPコールを行う目的で内部サーバーがアクセスする仮想IPアドレスを管理します。
LDAP仮想IPアドレスでリクエストを受信し、IPoIBネットワークを使用して、実行中のLDAPインスタンスにそのリクエストを渡します。
内部コールバック - 内部アプリケーション・コールバックを行う目的で内部サーバーがアクセスする仮想IPアドレスを管理します。
コールバック仮想IPアドレスでリクエストを受信し、IPoIBネットワークを使用して、適切なWeblogic管理対象サーバーにそのリクエストを渡します。
ハードウェア・ロード・バランサは、社内イーサネット・ネットワーク上のコモディティ・サーバーに配置されたOracle HTTP Server (OHS)にリクエストを送信します。次にOHSは、EoIBネットワークを使用してWebLogic Serverにリクエストを渡します。
Oracle Traffic Directorは、IPoIBネットワーク上でLDAPおよび内部コールバックの浮動IPアドレスを管理します。フェイルオーバー・グループの作成時に、プライマリ・ノードとフェイルオーバー・ノードに使用するIPアドレスのネットマスクを指定します。障害検出にはインスタンス間のハートビートが使用されます。
フェイルオーバー・グループの作成および構成の詳細は、第14.2.10項「仮想ホストのフェイルオーバー・グループの作成」を参照してください。
ロード・バランサは、Oracle Traffic Directorインスタンスを指すように構成できます。ただし、ロード・バランサの障害検出はOTDフェイルオーバー・グループを使用する方法よりも時間がかかります。そのため、各Oracle Traffic Directorインスタンスに外部フェイルオーバー・グループを作成し、そのフェイルオーバー・グループを指すようにロード・バランサを設定することをお薦めします。
Oracle Traffic Directorには独自のWebゲートがあり、これを認証に使用します。Webゲートのインストールと構成が完了すると、Oracle Traffic Directorはコンソールのリクエストをインターセプトし、検証のためにAccess Managerに転送します。
Infinibandネットワークを効率的に使用するため、内部コールバックはフェイルオーバー・グループに戻ります。
Exalogicは、WebLogic用に次の最適化を備えています。
ドメイン・レベル:
WebLogicドメインのチェック・ボックス
ネットワークIOの向上
セッション・レプリケーションの効率性の向上
自己チューニング・スレッド・プール
クラスタ・レベル:
ネットワーク・スループットを改善するために、カスタム・ネットワーク・レプリケーション・チャネルを作成します。
Exalogic最適化の詳細および手順は、『Oracle Exalogic Elastic CloudのためのWebLogic Serverの管理』のExalogic Elastic CloudソフトウェアのWebLogic Serverドメインの最適化に関する項を参照してください。
表3-5に、ExalogicでのプライマリIAM Suiteトポロジの実装のロードマップを示します。
表3-5 ExalogicでのプライマリIAM Suiteトポロジの実装のロードマップ
このドキュメントの第3.3項「プライマリOracle Identity and Access Management Exalogicエンタープライズ・トポロジのダイアグラム」では、Oracle Identity and Access Managementの2つのプライマリ・エンタープライズ・トポロジを構成する手順を説明しています。
ただし、お客様が購入するOracle Fusion Middleware製品セットやデプロイするアプリケーションのタイプによって、組織の要件が異なる場合があります。
多くの場合、代替トポロジ(追加コンポーネントを含むトポロジ、またはプライマリ・トポロジ・ダイアグラムに示したOracle Identity and Access Management製品の一部を含まないトポロジ)のインストールおよび構成が可能です。
次の項では、実装可能ないくつかの代替Oracle Identity and Access Managementトポロジについて、このガイドに示した手順に多少の変更を加えて説明します。
既存のディレクトリのみを含むOAM
既存のディレクトリのみを含むOIM
モジュラ・デプロイメントに統合されたOAM/OIM
既存のディレクトリと統合されたOAM/OIM
注意: デプロイメントは、Oracle Adaptive Access ManagerまたはOracle Privileged Account Managerを含むように拡張できます。詳細は、MAAのWebサイトを参照してください。 |
注意: このガイドで説明している環境とは異なるカスタム環境をデプロイする場合、通常はOracle Identity and Access Managementを手動でデプロイします。インストールおよびデプロイメントを自動化するために用意されているライフ・サイクル管理(LCM)ツールは、すべての代替トポロジをサポートしているわけではありません。LCMツールを使用してデプロイできるトポロジについては、第23章「ライフ・サイクル管理(LCM)ツールの概要」を参照してください。 |
このガイドで説明されていないトポロジを実装する場合は、トポロジに含める製品の動作保証情報、システム要件および相互運用性要件を確認してください。
トポロジがサポートされていることを確認した後、必要なコンポーネントのインストールと構成を行うためのガイドとしてこのガイドの説明を使用するか、またはOracle Fusion Middleware 11gのインストレーション・ガイドを使用して標準インストール・トポロジをインストールおよび構成し、スモール・スタート/スケール・アウト型アプローチで環境を構成できます。
Oracle Access Suite製品およびコンポーネントの高可用性を実現するために、このガイドでは、参照用トポロジの一部として作成するOracle Identity Manager、Oracle SOA SuiteおよびOracle Business Intelligenceのクラスタに対してOracle WebLogic Serverのサーバー全体の移行を有効にすることをお薦めします。
サーバー全体の移行では、別の物理マシン上で、サーバー・インスタンスとそのすべてのサービスが自動的に再起動されます。サーバー移行が構成されているクラスタに属するサーバーで問題が発生すると、そのサーバーは、クラスタのメンバーをホストする他のマシンで再起動されます。
詳細は、第21章「エンタープライズ・デプロイメント用のサーバー移行の構成」を参照してください。