| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
前 |
次 |
この章では、エンタープライズ・デプロイメント用のロード・バランサとファイアウォールを準備する方法を説明します。
この章のトピックは、次のとおりです:
この項では、ハードウェア・ロード・バランサに仮想ホストを構成する方法を説明します。
この項では、次の項目について説明します。
第6.1.4項「Oracle Identity and Access Managementデプロイメントに必要な仮想サーバーのサマリー」
第6.1.5項「Oracle Identity and Access Management Exalogicデプロイメントに必要な仮想サーバーのサマリー」
トポロジのダイアグラムに示すように、リクエストを認識し、様々な種類のネットワーク・トラフィックや監視に対応する複数の仮想サーバーと関連ポートにリクエストをルーティングできるように、ハードウェア・ロード・バランサを構成する必要があります。
ロード・バランシング・デバイスにおける仮想サーバーとは、ロード・バランシングのために複数の物理サーバーを1つのサーバーのように見せかけることができる構成です。仮想サーバーは通常、IPアドレスとサービスによって表され、受信したクライアント・リクエストをサーバー・プール内の各サーバーに配信するために使用されます。
仮想サーバーは、(エンタープライズ・デプロイメントで使用可能な各種サービス用の)適切なホスト・コンピュータおよびポートにトラフィックをルーティングするように構成しておく必要があります。
ロード・バランサの構成手順は、ロード・バランサの特定のタイプによって異なります。実際の手順は、ベンダーが提供するドキュメントを参照してください。次の手順では、一般的な構成フローを示します。
サーバーのプールを作成します。このプールには、ロード・バランシング定義に含まれるサーバーおよびポートのリストが存在します。たとえば、Webホスト間のロード・バランシングの場合、リクエストをポート7777 (WEB_HTTP_PORT)で受信するトポロジのWebサーバーに、リクエストを送信するサーバーのプールを作成します。
特定のホストとサービスが使用可能かどうかを決定するルールを作成し、手順1で説明したサーバーのプールに割り当てます。
ロード・バランサ上に仮想サーバーを作成します。これは、アプリケーションにより使用されるリクエストを受信するアドレスとポートです。たとえば、Web層のリクエストをロード・バランシングするには、login.example.com:80に対する仮想サーバーを作成します。
ロード・バランサでサポートされている場合は、仮想サーバーが内部から、外部から、またはその両方から利用できるのかどうかを指定します。内部アドレスはネットワーク内からのみ解決可能であることを確認します。
適用可能な場合は、仮想サーバーに対するSSL終端を構成します。
手順1で作成したサーバーのプールを、仮想サーバーに割り当てます。
タイムアウト設定(サービスが停止しているかどうかを検出する時間を含む)を調整します。
ロード・バランサは、ロード・バランサ・プール内のサービスが使用可能であることをチェックするように構成する必要があります。そうしないと、サービスが実行されていないホストにリクエストが送信されます。
表6-1に、サービスが使用可能かどうかを判断する方法の例を示します。
コモディティ・ハードウェアへのOracle Identity and Access Managementデプロイメントでは、表6-2に示すようにハードウェア・ロード・バランサを構成します。
表6-2 ロード・バランサの構成の詳細
| ロード・バランサの仮想サーバー | サーバー・プール | プロトコル | SSL終端 | 必要なその他の構成/コメント |
|---|---|---|---|---|
|
|
|
HTTPS |
はい |
アイデンティティ管理では、次のコードをHTTPヘッダーに追加する必要があります。
|
|
|
|
HTTPS |
アイデンティティ管理では、次のコードをHTTPヘッダーに追加する必要があります。
|
|
|
|
|
|
いいえ |
|
|
|
|
HTTP |
||
|
|
|
HTTP |
||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|
注意: ポート80はワークシートのHTTP_PORTです。ポート443はワークシートのHTTPS_PORTです。 ポート7777はワークシートのOHS_PORTです。 ポート9002はワークシートのMSAS_PORTです。 ポート1389はワークシートのLDAP_PORTです。OUDはその例です。 ポート1636はワークシートのLDAP_SSL_PORTです。OUDはその例です。 |
ExalogicハードウェアへのOracle Identity and Access Managementデプロイメントでは、表6-3に示すようにロード・バランサを構成します。
表6-3 ロード・バランサの構成の詳細
| ロード・バランサの仮想サーバー | サーバー・プール脚注 1 | サーバー・プール(外部OHS) | プロトコル | SSL終端 | 外部 | 必要なその他の構成/コメント |
|---|---|---|---|---|---|---|
|
|
|
|
HTTPS |
はい |
はい |
アイデンティティ管理では、次のコードをHTTPヘッダーに追加する必要があります。
|
|
|
|
|
HTTPS |
はい |
はい |
アイデンティティ管理では、次のコードをHTTPヘッダーに追加する必要があります。
|
|
|
|
|
HTTPS |
いいえ |
はい |
このエントリ・ポイントは、終了するのではなくSSLを介して渡されます。 |
|
|
|
|
HTTP |
いいえ |
いいえ |
|
|
|
|
|
HTTP |
いいえ |
いいえ |
脚注 1 フェイルオーバー検出を高速化するOTDフェイルオーバー・グループを使用しない場合は、WEBHOST1-vhnおよびwebhost2-vhnをクライアント・アクセス・ネットワークに対応するホスト名で置き換えてください。たとえば、iamhost1extおよびiamhost2extです。
脚注 2 IS_SSLの構成の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のユーザー定義のWebゲート・パラメータに関する項を参照してください。
フェイルオーバー検出を高速化するOTDフェイルオーバー・グループを使用しない場合は、WEBHOST1-VHNおよびWEBHOST2-VHNをクライアント・アクセス・ネットワークに対応するホスト名で置き換えてください。たとえば、WEBHOST1およびWEBHOST2です。
Exalogicデプロイメントでは、LDAPと内部アプリケーション・コールはOTDを介してロード・バランシングすることが前提となっています。
外部OHSを使用する場合、サーバーは外部OHSホストを指します。
IS_SSLの構成の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のユーザー定義のWebゲート・パラメータに関する項を参照してください。
|
注意: ポート80はワークシートのHTTP_PORTです。ポート443はワークシートのHTTPS_PORTです。 ポート7777はワークシートのOHS_PORTです。 ポート9002はワークシートのMSAS_PORTです。 ポート1389はワークシートのLDAP_PORTです。 ポート1636はワークシートのLDAP_SSL_PORTです。 |
多くのOracle Fusion Middlewareコンポーネントおよびサービスはポートを使用します。管理者はこれらのサービスに使用するポート番号を把握し、ホスト上の2つのサービスが同じポート番号を使用しないようにする必要があります。
ほとんどのポート番号はインストール後に割り当てられます。必要に応じて別のポート番号を使用できます。表6-4に示したポート番号は、一貫性を保つためにこのガイド全体にわたって使用する例です。別のポート番号を使用する場合、その値が使用される場所では必ずその値を表の値のかわりに使用する必要があります。
表6-4は、Oracle Identity and Access Managementトポロジで使用されるポートの一覧です。これには、トポロジ内のファイアウォール上で開く必要があるポートが含まれます。
ファイアウォールの表記法:
FW0は、最も外側のファイアウォールを表します。
FW1は、Web層とアプリケーション層の間のファイアウォールを表します。
FW2は、アプリケーション層とデータベース層の間のファイアウォールを表します。
表6-4 Oracle Identity and Access Managementエンタープライズ・デプロイメント・トポロジで使用されるポート
| タイプ | ファイアウォール | ポートとポートの範囲 | プロトコル/アプリケーション | インバウンド/アウトバウンド | タイムアウト |
|---|---|---|---|---|---|
|
ブラウザ・リクエスト |
FW0 |
80 |
HTTP/ロード・バランサ |
両方 |
Oracle Identity and Access Managementで使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツに応じて、タイムアウトは異なります。 |
|
ブラウザ・リクエスト |
FW0 |
443 |
HTTPS/ロード・バランサ |
両方 |
Oracle Identity and Access Managementで使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツに応じて、タイムアウトは異なります。 |
|
ブラウザ・リクエスト |
FW1 |
80 |
HTTPS/ロード・バランサ |
アウトバウンド(イントラネット・クライアント) |
タイムアウトは、IAMによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
|
ブラウザ・リクエスト |
FW1 |
443 |
HTTPS/ロード・バランサ |
アウトバウンド(イントラネット・クライアント) |
タイムアウトは、IAMによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。 |
|
ロード・バランサからOracle HTTP Serverへ |
該当なし |
7777 |
HTTP |
該当なし |
第6.1項「ハードウェア・ロード・バランサでの仮想ホストの構成」を参照してください。 |
|
管理サーバーによるOHS登録 |
FW1 |
7001 |
HTTP/t3 |
インバウンド |
タイムアウトを短い時間(5から10秒)に設定します。 |
|
Oracle Weblogic管理サーバー(IAMAccessDomain)へのWeb層アクセス |
FW1 |
7001 |
HTTP/Oracle HTTP Serverと管理サーバー |
インバウンド |
N/A |
|
Oracle Weblogic管理サーバー(IAMGovernanceDomain)へのWeb層アクセス |
FW1 |
7101 |
HTTP/Oracle HTTP Serverと管理サーバー |
インバウンド |
N/A |
|
Enterprise Managerエージェント - Web層からEnterprise Managerへ |
FW1 |
5160 |
HTTP/Enterprise ManagerエージェントとEnterprise Manager |
両方 |
N/A |
|
Oracle HTTP ServerからWLS_OAMへ |
FW1 |
14100 |
HTTP/Oracle HTTP ServerからWebLogic Serverへ |
インバウンド |
使用される |
|
Oracle HTTP Server WLS_OIM |
FW1 |
14000 |
HTTP/Oracle HTTP ServerからWebLogic Serverへ |
インバウンド |
使用される |
|
Oracle HTTP Server WLS_SOA |
FW1 |
8001 |
HTTP/Oracle HTTP ServerからWebLogic Serverへ |
両方 |
使用される |
|
Oracle HTTP Server WLS_MSM |
FW1 |
14180 |
HTTP/Oracle HTTP ServerからWebLogic Serverへ |
両方 |
使用される |
|
Oracle HTTP Server WLS_AMA |
FW1 |
14150 |
HTTP/Oracle HTTP ServerからWebLogic Serverへ |
両方 |
使用される |
|
Oracle HTTP Server WLS_BI |
FW1 |
9704 |
HTTP/Oracle HTTP ServerからWebLogic Serverへ |
両方 |
使用される |
|
管理サーバーによるOracle HTTP Serverの管理 |
FW1 |
OPMNリモート・ポート(6701)およびOHS管理ポート(7779) |
それぞれTCPとHTTP |
アウトバウンド |
タイムアウトを短い時間(5-10秒など)に設定します。 |
|
Access Managerサーバー |
FW1 |
5575 |
OAP |
両方 |
N/A |
|
Access Manager Coherenceポート |
FW1 |
9095 |
TCMP |
両方 |
N/A |
|
Oracle Coherenceポート |
FW1 |
8000 - 8088 |
TCMP |
両方 |
N/A |
|
アプリケーション層からデータベース・リスナーへ |
FW2 |
1521 |
SQL*Net |
両方 |
Oracle Identity and Access Managementで使用されるプロセス・モデルのタイプとすべてのデータベース・コンテンツに応じて、タイムアウトは異なります。 |
|
Oracle Notification Server (ONS) |
FW2 |
6200 |
ONS |
両方 |
Gridlinkに必要。ONSサーバーは各データベース・サーバー上で稼働します。 |
|
OUDポート |
FW2 |
1389 |
LDAP |
インバウンド |
理想的には、タイムアウトが発生しないようにこれらの接続を構成します。 |
|
OUD SSLポート |
FW2 |
14636 |
LDAPS |
インバウンド |
理想的には、タイムアウトが発生しないようにこれらの接続を構成します。 |
|
ロード・バランサLDAPポート |
FW2 |
386 |
LDAP |
インバウンド |
理想的には、タイムアウトが発生しないようにこれらの接続を構成します。 |
|
ロード・バランサLDAP SSLポート |
FW2 |
636 |
LDAPS |
インバウンド |
理想的には、タイムアウトが発生しないようにこれらの接続を構成します。 |
|
ノード・マネージャ |
N/A |
5556 |
TCP/IP |
N/A |
N/A |
|
Oracle Unified Directoryレプリケーション |
N/A |
8989 |
TCP/IP |
N/A |
N/A |
|
注意: 外部ドメイン(SOA、WebCenter Portalドメインなど)のアプリケーションをこのIdentity and Access Managementドメインで認証できるように、ファイアウォール間で追加のポートを開く必要が生じることがあります。 |
多くのOracle Fusion Middlewareコンポーネントおよびサービスはポートを使用します。管理者は、これらのサービスが使用するポート番号を把握し、同じポート番号が1つのホスト上の2つのサービスによって使用されないようにする必要があります。
ほとんどのポート番号はインストール時に割り当てられます。
表6-5は、Oracle Identity and Access Managementトポロジで使用されるポートの一覧です。これには、トポロジ内のファイアウォール上で開く必要があるポートが含まれます。
|
注意: 表6-5:
Exalogicシステム:
|
表6-5 Exalogic参照トポロジで使用されるポート
| タイプ | ファイアウォール | ポートとポートの範囲 | プロトコル/アプリケーション | インバウンド/アウトバウンド | その他の考慮事項とタイムアウトのガイドライン |
|---|---|---|---|---|---|
|
ブラウザ・リクエスト |
FW0 |
80 |
HTTP/ロード・バランサ |
インバウンド |
タイムアウトは、Exalogic環境で使用しているOracle Fusion Middleware製品のプロセス・モデルとすべてのHTMLコンテンツに応じて異なります。 |
|
ブラウザ・リクエスト |
FW0 |
443 |
HTTPS/ロード・バランサ |
インバウンド |
タイムアウトは、Exalogic環境で使用しているOracle Fusion Middleware製品のプロセス・モデルとすべてのHTMLコンテンツに応じて異なります。 |
|
ロード・バランサからOracle Traffic Directorへ |
FW0 |
7777 |
HTTP |
該当なし |
タイムアウトは、Exalogic環境で使用しているOracle Fusion Middleware製品のプロセス・モデルとすべてのHTMLコンテンツに応じて異なります。 |
|
ロード・バランサからMSASプロキシへ |
FW0 |
9002 |
HTTP |
該当なし |
タイムアウトは、Exalogic環境で使用しているOracle Fusion Middleware製品のプロセス・モデルとすべてのHTMLコンテンツに応じて異なります。 |
|
IAMAccessドメインの管理コンソールへのアクセス |
FW1 |
7001 |
HTTP/管理サーバーとEnterprise Manager |
両方 |
管理コンソールへのアクセスのタイプ(アプリケーション層のクライアントまたはアプリケーション層の外部のクライアントからOracle WebLogic Server管理コンソールを使用する予定があるかどうか)に基づいてタイムアウト時間をチューニングする必要があります。 |
|
IAMGovernanceドメインの管理コンソールへのアクセス |
FW1 |
7101 |
HTTP/管理サーバーとEnterprise Manager |
両方 |
管理コンソールへのアクセスのタイプ(アプリケーション層のクライアントまたはアプリケーション層の外部のクライアントからOracle WebLogic Server管理コンソールを使用する予定があるかどうか)に基づいてタイムアウト時間をチューニングする必要があります。 |
|
Coherence |
該当なし |
8088 範囲: 8080 - 8090 |
該当なし |
該当なし |
|
|
アプリケーション層からデータ層へ(イーサネット経由でOracle Exalogicマシン外部のOracle DatabaseまたはRACへ) |
FW2 |
1521 |
該当なし |
該当なし |
|
|
Oracle HTTP Server WLS_OAM |
FW1 |
14100 |
HTTP |
インバウンド |
|
|
Oracle HTTP Server WLS_OIM |
FW1 |
14000 |
HTTP |
インバウンド |
|
|
Oracle HTTP Server WLS_SOA |
FW1 |
8001 |
HTTP |
インバウンド |
|
|
Oracle HTTP Server WLS_AMA |
FW1 |
14150 |
HTTP |
インバウンド |
|
|
Oracle HTTP Server WLS_BI |
FW1 |
9704 |
HTTP |
インバウンド |
|
|
Oracle HTTP Server WLS_MSM |
FW1 |
14180 |
HTTP |
インバウンド |
|
