プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド
11g リリース2 (11.1.2.3.0)
E61956-03
  目次へ移動
目次

前
 
次
 

6 エンタープライズ・デプロイメントのロード・バランサとファイアウォールの準備

この章では、エンタープライズ・デプロイメント用のロード・バランサとファイアウォールを準備する方法を説明します。

この章のトピックは、次のとおりです:

6.1 ハードウェア・ロード・バランサでの仮想ホストの構成

この項では、ハードウェア・ロード・バランサに仮想ホストを構成する方法を説明します。

この項では、次の項目について説明します。

6.1.1 ハードウェア・ロード・バランサの概要

トポロジのダイアグラムに示すように、リクエストを認識し、様々な種類のネットワーク・トラフィックや監視に対応する複数の仮想サーバーと関連ポートにリクエストをルーティングできるように、ハードウェア・ロード・バランサを構成する必要があります。

ロード・バランシング・デバイスにおける仮想サーバーとは、ロード・バランシングのために複数の物理サーバーを1つのサーバーのように見せかけることができる構成です。仮想サーバーは通常、IPアドレスとサービスによって表され、受信したクライアント・リクエストをサーバー・プール内の各サーバーに配信するために使用されます。

仮想サーバーは、(エンタープライズ・デプロイメントで使用可能な各種サービス用の)適切なホスト・コンピュータおよびポートにトラフィックをルーティングするように構成しておく必要があります。

6.1.2 ハードウェア・ロード・バランサの構成の一般的な手順

ロード・バランサの構成手順は、ロード・バランサの特定のタイプによって異なります。実際の手順は、ベンダーが提供するドキュメントを参照してください。次の手順では、一般的な構成フローを示します。

  1. サーバーのプールを作成します。このプールには、ロード・バランシング定義に含まれるサーバーおよびポートのリストが存在します。たとえば、Webホスト間のロード・バランシングの場合、リクエストをポート7777 (WEB_HTTP_PORT)で受信するトポロジのWebサーバーに、リクエストを送信するサーバーのプールを作成します。

  2. 特定のホストとサービスが使用可能かどうかを決定するルールを作成し、手順1で説明したサーバーのプールに割り当てます。

  3. ロード・バランサ上に仮想サーバーを作成します。これは、アプリケーションにより使用されるリクエストを受信するアドレスとポートです。たとえば、Web層のリクエストをロード・バランシングするには、login.example.com:80に対する仮想サーバーを作成します。

  4. ロード・バランサでサポートされている場合は、仮想サーバーが内部から、外部から、またはその両方から利用できるのかどうかを指定します。内部アドレスはネットワーク内からのみ解決可能であることを確認します。

  5. 適用可能な場合は、仮想サーバーに対するSSL終端を構成します。

  6. 手順1で作成したサーバーのプールを、仮想サーバーに割り当てます。

  7. タイムアウト設定(サービスが停止しているかどうかを検出する時間を含む)を調整します。

6.1.3 ロード・バランサのヘルスのモニタリング

ロード・バランサは、ロード・バランサ・プール内のサービスが使用可能であることをチェックするように構成する必要があります。そうしないと、サービスが実行されていないホストにリクエストが送信されます。

表6-1に、サービスが使用可能かどうかを判断する方法の例を示します。

表6-1 サービスが使用可能かどうかを判断する方法の例

サービス モニター・タイプ モニター・メカニズム

OID

ldap

ldapbind to cn=orcladmin

OUD

ldap

ldapbind to cn=oudadmin

OHS

http

GET /\r\nのチェック

OTD

http

GET /\r\nのチェック

MSAS

https

GET /bmax/bmax.pac\r\nのチェック


6.1.4 Oracle Identity and Access Managementデプロイメントに必要な仮想サーバーのサマリー

コモディティ・ハードウェアへのOracle Identity and Access Managementデプロイメントでは、表6-2に示すようにハードウェア・ロード・バランサを構成します。

表6-2 ロード・バランサの構成の詳細

ロード・バランサの仮想サーバー サーバー・プール プロトコル SSL終端 必要なその他の構成/コメント

login.example.com:443

webhost1.example.com:7777 webhost2.example.com:7777

HTTPS

はい

アイデンティティ管理では、次のコードをHTTPヘッダーに追加する必要があります。

Header Name: IS_SSL

Header Value: ssl

Header Name: WL-Proxy-SSL

Header Value: true

prov.example.com:443

webhost1.example.com:7777

webhost2.example.com:7777

HTTPS


アイデンティティ管理では、次のコードをHTTPヘッダーに追加する必要があります。

Header Name: IS_SSL

Header Value: ssl

Header Name: WL-Proxy-SSL

Header Value: true

msas.example.com:9002

webhost1.example.com:9002

webhost2.example.com:9002

HTTPS

いいえ


iadadmin.example.com:80

webhost1.example.com:7777

webhost2.example.com:7777

HTTP



igdadmin.example.com:80

webhost1.example.com:7777

webhost2.example.com:7777

HTTP



iadinternal.example.com:7777

webhost1.example.com:7777

webhost2.example.com:7777




igdinternal.example.com:7777

webhost1.example.com:7777

webhost2.example.com:7777




idstore.example.com:1389

ldaphost1.example.com:1389

ldaphost2.example.com:1389




idstore.example.com:1636

ldaphost1.example.com:1636

ldaphost2.example.com:1636






注意:

ポート80はワークシートのHTTP_PORTです。

ポート443はワークシートのHTTPS_PORTです。

ポート7777はワークシートのOHS_PORTです。

ポート9002はワークシートのMSAS_PORTです。

ポート1389はワークシートのLDAP_PORTです。OUDはその例です。

ポート1636はワークシートのLDAP_SSL_PORTです。OUDはその例です。


6.1.5 Oracle Identity and Access Management Exalogicデプロイメントに必要な仮想サーバーのサマリー

ExalogicハードウェアへのOracle Identity and Access Managementデプロイメントでは、表6-3に示すようにロード・バランサを構成します。

表6-3 ロード・バランサの構成の詳細

ロード・バランサの仮想サーバー サーバー・プール脚注 1  サーバー・プール(外部OHS) プロトコル SSL終端 外部 必要なその他の構成/コメント

login.example.com:443

webhost1vhn1.example.com:7777 webhost2vhn1.example.com:7777

ohshost1.example.com:7777 ohshost2.example.com:7777

HTTPS

はい

はい

アイデンティティ管理では、次のコードをHTTPヘッダーに追加する必要があります。

Header Name: IS_SSL脚注 2 

Header Value: ssl

Header Name: WL-Proxy-SSL

Header Value: true

prov.example.com:443

webhost1vhn1.example.com:7777 webhost2vhn1.example.com:7777

ohshost1.example.com:7777 ohshost2.example.com:7777

HTTPS

はい

はい

アイデンティティ管理では、次のコードをHTTPヘッダーに追加する必要があります。

Header Name: IS_SSL

Header Value: SSL

Header Name: WL-Proxy-SSL

Header Value: true

MSAS.example.com:9002

webhost1.example.com:9002 webhost2.example.com:9002

ohshost1.example.com:9002 ohshost2.example.com:9002

HTTPS

いいえ

はい

このエントリ・ポイントは、終了するのではなくSSLを介して渡されます。

IADADMIN.example.com:80

webhost1vhn1.example.com:7777 webhost2vhn1.example.com:7777

ohshost1.example.com:7777 ohshost2.example.com:7777

HTTP

いいえ

いいえ


IGDADMIN.example.com:80

webhost1vhn1.example.com:7777 webhost2vhn1.example.com:7777

ohshost1.example.com:7777 ohshost2.example.com:7777

HTTP

いいえ

いいえ



脚注 1 フェイルオーバー検出を高速化するOTDフェイルオーバー・グループを使用しない場合は、WEBHOST1-vhnおよびwebhost2-vhnをクライアント・アクセス・ネットワークに対応するホスト名で置き換えてください。たとえば、iamhost1extおよびiamhost2extです。

脚注 2 IS_SSLの構成の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のユーザー定義のWebゲート・パラメータに関する項を参照してください。

フェイルオーバー検出を高速化するOTDフェイルオーバー・グループを使用しない場合は、WEBHOST1-VHNおよびWEBHOST2-VHNをクライアント・アクセス・ネットワークに対応するホスト名で置き換えてください。たとえば、WEBHOST1およびWEBHOST2です。

Exalogicデプロイメントでは、LDAPと内部アプリケーション・コールはOTDを介してロード・バランシングすることが前提となっています。

外部OHSを使用する場合、サーバーは外部OHSホストを指します。

IS_SSLの構成の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のユーザー定義のWebゲート・パラメータに関する項を参照してください。


注意:

ポート80はワークシートのHTTP_PORTです。

ポート443はワークシートのHTTPS_PORTです。

ポート7777はワークシートのOHS_PORTです。

ポート9002はワークシートのMSAS_PORTです。

ポート1389はワークシートのLDAP_PORTです。

ポート1636はワークシートのLDAP_SSL_PORTです。


6.2 Oracle Identity and Access Managementデプロイメントのファイアウォールとポートの構成

多くのOracle Fusion Middlewareコンポーネントおよびサービスはポートを使用します。管理者はこれらのサービスに使用するポート番号を把握し、ホスト上の2つのサービスが同じポート番号を使用しないようにする必要があります。

ほとんどのポート番号はインストール後に割り当てられます。必要に応じて別のポート番号を使用できます。表6-4に示したポート番号は、一貫性を保つためにこのガイド全体にわたって使用する例です。別のポート番号を使用する場合、その値が使用される場所では必ずその値を表の値のかわりに使用する必要があります。

表6-4は、Oracle Identity and Access Managementトポロジで使用されるポートの一覧です。これには、トポロジ内のファイアウォール上で開く必要があるポートが含まれます。

ファイアウォールの表記法:

  • FW0は、最も外側のファイアウォールを表します。

  • FW1は、Web層とアプリケーション層の間のファイアウォールを表します。

  • FW2は、アプリケーション層とデータベース層の間のファイアウォールを表します。

表6-4 Oracle Identity and Access Managementエンタープライズ・デプロイメント・トポロジで使用されるポート

タイプ ファイアウォール ポートとポートの範囲 プロトコル/アプリケーション インバウンド/アウトバウンド タイムアウト

ブラウザ・リクエスト

FW0

80

HTTP/ロード・バランサ

両方

Oracle Identity and Access Managementで使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツに応じて、タイムアウトは異なります。

ブラウザ・リクエスト

FW0

443

HTTPS/ロード・バランサ

両方

Oracle Identity and Access Managementで使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツに応じて、タイムアウトは異なります。

ブラウザ・リクエスト

FW1

80

HTTPS/ロード・バランサ

アウトバウンド(イントラネット・クライアント)

タイムアウトは、IAMによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。

ブラウザ・リクエスト

FW1

443

HTTPS/ロード・バランサ

アウトバウンド(イントラネット・クライアント)

タイムアウトは、IAMによって使用されるプロセス・モデルのタイプとすべてのHTMLコンテンツによって異なります。

ロード・バランサからOracle HTTP Serverへ

該当なし

7777

HTTP

該当なし

第6.1項「ハードウェア・ロード・バランサでの仮想ホストの構成」を参照してください。

管理サーバーによるOHS登録

FW1

7001

HTTP/t3

インバウンド

タイムアウトを短い時間(5から10秒)に設定します。

Oracle Weblogic管理サーバー(IAMAccessDomain)へのWeb層アクセス

FW1

7001

HTTP/Oracle HTTP Serverと管理サーバー

インバウンド

N/A

Oracle Weblogic管理サーバー(IAMGovernanceDomain)へのWeb層アクセス

FW1

7101

HTTP/Oracle HTTP Serverと管理サーバー

インバウンド

N/A

Enterprise Managerエージェント - Web層からEnterprise Managerへ

FW1

5160

HTTP/Enterprise ManagerエージェントとEnterprise Manager

両方

N/A

Oracle HTTP ServerからWLS_OAMへ

FW1

14100

HTTP/Oracle HTTP ServerからWebLogic Serverへ

インバウンド

使用されるmod_weblogicパラメータに応じて、タイムアウトは異なります。

Oracle HTTP Server WLS_OIM

FW1

14000

HTTP/Oracle HTTP ServerからWebLogic Serverへ

インバウンド

使用されるmod_weblogicパラメータに応じて、タイムアウトは異なります

Oracle HTTP Server WLS_SOA

FW1

8001

HTTP/Oracle HTTP ServerからWebLogic Serverへ

両方

使用されるmod_weblogicパラメータに応じて、タイムアウトは異なります

Oracle HTTP Server WLS_MSM

FW1

14180

HTTP/Oracle HTTP ServerからWebLogic Serverへ

両方

使用されるmod_weblogicパラメータに応じて、タイムアウトは異なります

Oracle HTTP Server WLS_AMA

FW1

14150

HTTP/Oracle HTTP ServerからWebLogic Serverへ

両方

使用されるmod_weblogicパラメータに応じて、タイムアウトは異なります

Oracle HTTP Server WLS_BI

FW1

9704

HTTP/Oracle HTTP ServerからWebLogic Serverへ

両方

使用されるmod_weblogicパラメータに応じて、タイムアウトは異なります

管理サーバーによるOracle HTTP Serverの管理

FW1

OPMNリモート・ポート(6701)およびOHS管理ポート(7779)

それぞれTCPとHTTP

アウトバウンド

タイムアウトを短い時間(5-10秒など)に設定します。

Access Managerサーバー

FW1

5575

OAP

両方

N/A

Access Manager Coherenceポート

FW1

9095

TCMP

両方

N/A

Oracle Coherenceポート

FW1

8000 - 8088

TCMP

両方

N/A

アプリケーション層からデータベース・リスナーへ

FW2

1521

SQL*Net

両方

Oracle Identity and Access Managementで使用されるプロセス・モデルのタイプとすべてのデータベース・コンテンツに応じて、タイムアウトは異なります。

Oracle Notification Server (ONS)

FW2

6200

ONS

両方

Gridlinkに必要。ONSサーバーは各データベース・サーバー上で稼働します。

OUDポート

FW2

1389

LDAP

インバウンド

理想的には、タイムアウトが発生しないようにこれらの接続を構成します。

OUD SSLポート

FW2

14636

LDAPS

インバウンド

理想的には、タイムアウトが発生しないようにこれらの接続を構成します。

ロード・バランサLDAPポート

FW2

386

LDAP

インバウンド

理想的には、タイムアウトが発生しないようにこれらの接続を構成します。

ロード・バランサLDAP SSLポート

FW2

636

LDAPS

インバウンド

理想的には、タイムアウトが発生しないようにこれらの接続を構成します。

ノード・マネージャ

N/A

5556

TCP/IP

N/A

N/A

Oracle Unified Directoryレプリケーション

N/A

8989

TCP/IP

N/A

N/A



注意:

外部ドメイン(SOA、WebCenter Portalドメインなど)のアプリケーションをこのIdentity and Access Managementドメインで認証できるように、ファイアウォール間で追加のポートを開く必要が生じることがあります。

6.3 Exalogicエンタープライズ・デプロイメントのファイアウォールとポートの構成

多くのOracle Fusion Middlewareコンポーネントおよびサービスはポートを使用します。管理者は、これらのサービスが使用するポート番号を把握し、同じポート番号が1つのホスト上の2つのサービスによって使用されないようにする必要があります。

ほとんどのポート番号はインストール時に割り当てられます。

表6-5は、Oracle Identity and Access Managementトポロジで使用されるポートの一覧です。これには、トポロジ内のファイアウォール上で開く必要があるポートが含まれます。


注意:

表6-5:
  • FW0は、最も外側のファイアウォールを表します

  • FW1は、Web層とアプリケーション層の間のファイアウォールを表します

  • FW2は、アプリケーション層とデータ層との間におけるファイアウォールを示します

Exalogicシステム:

  • FW1は、ロード・バランサとExadataマシンの間です(外部OHSが使用される場合を除く)。

  • FW2は、データベースがExadata上に存在しない場合のみ存在します。


表6-5 Exalogic参照トポロジで使用されるポート

タイプ ファイアウォール ポートとポートの範囲 プロトコル/アプリケーション インバウンド/アウトバウンド その他の考慮事項とタイムアウトのガイドライン

ブラウザ・リクエスト

FW0

80

HTTP/ロード・バランサ

インバウンド

タイムアウトは、Exalogic環境で使用しているOracle Fusion Middleware製品のプロセス・モデルとすべてのHTMLコンテンツに応じて異なります。

ブラウザ・リクエスト

FW0

443

HTTPS/ロード・バランサ

インバウンド

タイムアウトは、Exalogic環境で使用しているOracle Fusion Middleware製品のプロセス・モデルとすべてのHTMLコンテンツに応じて異なります。

ロード・バランサからOracle Traffic Directorへ

FW0

7777

HTTP

該当なし

タイムアウトは、Exalogic環境で使用しているOracle Fusion Middleware製品のプロセス・モデルとすべてのHTMLコンテンツに応じて異なります。

ロード・バランサからMSASプロキシへ

FW0

9002

HTTP

該当なし

タイムアウトは、Exalogic環境で使用しているOracle Fusion Middleware製品のプロセス・モデルとすべてのHTMLコンテンツに応じて異なります。

IAMAccessドメインの管理コンソールへのアクセス

FW1

7001

HTTP/管理サーバーとEnterprise Manager

両方

管理コンソールへのアクセスのタイプ(アプリケーション層のクライアントまたはアプリケーション層の外部のクライアントからOracle WebLogic Server管理コンソールを使用する予定があるかどうか)に基づいてタイムアウト時間をチューニングする必要があります。

IAMGovernanceドメインの管理コンソールへのアクセス

FW1

7101

HTTP/管理サーバーとEnterprise Manager

両方

管理コンソールへのアクセスのタイプ(アプリケーション層のクライアントまたはアプリケーション層の外部のクライアントからOracle WebLogic Server管理コンソールを使用する予定があるかどうか)に基づいてタイムアウト時間をチューニングする必要があります。

Coherence

該当なし

8088

範囲: 8080 - 8090


該当なし

該当なし

アプリケーション層からデータ層へ(イーサネット経由でOracle Exalogicマシン外部のOracle DatabaseまたはRACへ)

FW2

1521


該当なし

該当なし

Oracle HTTP Server WLS_OAM

FW1

14100

HTTP

インバウンド

bond1の浮動IPアドレスを使用する管理対象サーバーにOracle HTTP Server経由でアクセスします。トポロジに外部Oracle HTTP Serverがある場合にのみ必要です。

Oracle HTTP Server WLS_OIM

FW1

14000

HTTP

インバウンド

bond1の浮動IPアドレスを使用する管理対象サーバーにOracle HTTP Server経由でアクセスします。トポロジに外部Oracle HTTP Serverがある場合にのみ必要です。

Oracle HTTP Server WLS_SOA

FW1

8001

HTTP

インバウンド

bond1の浮動IPアドレスを使用する管理対象サーバーにOracle HTTP Server経由でアクセスします。トポロジに外部Oracle HTTP Serverがある場合にのみ必要です。

Oracle HTTP Server WLS_AMA

FW1

14150

HTTP

インバウンド

bond1の浮動IPアドレスを使用する管理対象サーバーにOracle HTTP Server経由でアクセスします。トポロジに外部Oracle HTTP Serverがある場合にのみ必要です。

Oracle HTTP Server WLS_BI

FW1

9704

HTTP

インバウンド

bond1の浮動IPアドレスを使用する管理対象サーバーにOracle HTTP Server経由でアクセスします。トポロジに外部Oracle HTTP Serverがある場合にのみ必要です。

Oracle HTTP Server WLS_MSM

FW1

14180

HTTP

インバウンド

bond1の浮動IPアドレスを使用する管理対象サーバーにOracle HTTP Server経由でアクセスします。トポロジに外部Oracle HTTP Serverがある場合にのみ必要です。