プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Access Management管理者ガイド
11g リリース2 (11.1.2.3) for All Platforms
E61950-08
目次へ移動
目次
前
 		次

11.6 Access Managerサーバーのヘルスのモニタリング

Access Managerサービスはビジネス上重要なものであり、保護されている組織のWebサービスやアプリケーションに対するユーザーのアクセス制御のために、常に利用可能であることが必要です。ハードウェアやネットワーク接続性の問題、およびその他の障害が発生することがあるため、ロード・バランサはハートビート・モニタリングを活用して、ユーザー・トラフィックが正常なOAMサーバーに確実にルーティングされるようにする場合があります。

たとえば、ユーザー・エージェントまたはWebGate (10または11g)と、10gまたは11gのAccess Managerサーバーとの間にファイアウォールがインストールされている場合に、周辺装置は、ハートビートURLにアクセスすることによって、Access Managerサーバーの可用性(そのヘルス)をチェックできます。次の各項では、詳細を説明します。

11.6.1 WebGateとAccess Manager通信の理解

WebGateとAccess Managerサーバーの間にネットワーク・ファイアウォールをデプロイする場合、WebGateはメッセージ・チャネルを確立するために、Access ManagerとのTCPソケット接続を作成して、OAPプロトコルを使用して通信します。WebGateは、メッセージ・チャネルを使用して、リソース要求(isprotectedやisauthorizedなど)に応えるために必要な様々なOAPメッセージを送信します。ここで、WebGate/Oracle HTTP Serverがアイドル状態である状況を想定してみます。この場合には、WebGateはリソース要求を受け取っておらず、認証や認可のためにAccess Managerにメッセージを送信することもありません。また、ソケット接続上での読取り/書込み動作も行われません。

ファイアウォールでは、30-40分間アクティブではなかった場合(構成に依存します)に、この接続がアイドルであると判定してソケット接続を終了しますが、WebGateやAccess Managerサーバーには通知を行いません。このケースでは、WebGateがリソース要求を受け取ってAccess ManagerサーバーにOAPメッセージを送信する際には、既存の接続を使用してリプライを待ちます。接続はファイアウォールによって削除されているため、WebGateがリプライを受け取ることはなく、TCPタイムアウトを待つことになります。TCPタイムアウトの後、WebGateはメッセージ・チャネルが使用できないことを理解し、メッセージ・チャネルを新規に作成する処理を開始します。WebGateがユーザー要求を処理できなくなるTCPタイムアウトはOS固有の機能であり、数分から数時間までの幅があります。

ノート:

setKeepAlive WebGateパラメータによって、ロード・バランサによるOAP接続の削除を停止できます。詳細は、表15-2を参照してください。

11.6.2 Access Managerサーバーのヘルスのモニタリング

OAMモニタリング・モデルでは、既定の時間間隔にて、Web層コンポーネント(ロード・バランサ)がOAM管理対象サーバーのハートビート・エンドポイントに向けて、pingをHTTP(S)経由で送信できます。これによってWeb層コンポーネントは、受信HTTPトラフィックを異常なOAM管理対象サーバー以外にルーティングさせることが可能です。

すべてのOAM管理対象サーバーは、次のハートビートURLを公開しています。

Scheme://ManagedServerHost:ManagedServerPort/oam/server/HeartBeat

このURLの構成要素は次のとおりです。

  • scheme: https | http

  • ManagedServerHost: Access Manager WLS管理対象サーバーのホスト名

  • ManagedServerPort: Access Manager WLS管理対象サーバーが使用しているポート

ハートビートURLは次のように動作します。

  1. Web層コンポーネントは、Access Manager管理対象サーバーのハートビート・エンドポイントにHTTPリクエストを送信します。
  2. すると、Access Manager管理対象サーバーは、次の処理を実行します。

    • Idストアの接続性を確認します。

    • ポリシー・ストアの接続性を確認します。

    • 資格証明コレクタURLがアクセス可能であることを確認します。

    • コヒーレンス・レイヤーの動作の健全性チェックを行います。

    • NAP接続性をチェックします。

    前述のテストが成功した場合には、Access Managerサーバーは正常であるとみなされ、HTTP 200応答がロード・バランサに送信されます。それ以外のHTTPステータス・コードはすべて、Access Manager管理対象サーバーが異常であることを示します。

  3. 複数台のAccess Manager管理対象サーバーがデプロイメント中に存在する場合、Web層コンポーネントは各OAM管理対象サーバーに対してこの処理を繰り返します。

ノート:

ヘルス・ステータスのテスト結果またはチェック結果のいずれも、HTTP応答のボディ部で通信することはできません。ハートビート・チェックが成功すると、HTTPコード200が返されます。

前
 		次
目次へ移動
目次