6 エンタープライズ・デプロイメントのロード・バランサとファイアウォールの準備

この章では、エンタープライズ・デプロイメント用にネットワークを構成する方法について説明します。

• ハードウェア・ロード・バランサでの仮想ホストの構成
  この項では、エンタープライズ・デプロイメントのハードウェア・ロード・バランサの構成方法について説明します。
• エンタープライズ・デプロイメントのファイアウォールとポートの構成
  この項では、エンタープライズ・デプロイメントでファイアウォール上に開く必要があるポートをリストします。

6.1 ハードウェア・ロード・バランサでの仮想ホストの構成

この項では、エンタープライズ・デプロイメントのハードウェア・ロード・バランサの構成方法について説明します。

次の項では、ハードウェア・ロード・バランサを構成する方法を説明し、必要な仮想サーバーのサマリーを示し、これらの仮想サーバーに関する追加情報を提供します。

• ハードウェア・ロード・バランサ構成の概要
  
• ハードウェア・ロード・バランサの構成の一般的な手順
  
• エンタープライズ・デプロイメントに必要な仮想サーバーのサマリー
  
• admin.example.comに関する追加手順
  
• wcc.example.comに関する追加手順
  
• wccinternal.example.comに関する追加手順
  

6.1.1 ハードウェア・ロード・バランサ構成の概要

トポロジのダイアグラムに示すように、リクエストを認識し、様々な種類のネットワーク・トラフィックや監視に対応する複数の仮想サーバーと関連ポートにリクエストをルーティングできるように、ハードウェア・ロード・バランサを構成する必要があります。

ロード・バランシング・デバイスにおける仮想サーバーとは、ロード・バランシングのために複数の物理サーバーを1つのサーバーのように見せかけることができる構成です。仮想サーバーは通常、IPアドレスとサービスによって表され、受信したクライアント・リクエストをサーバー・プール内の各サーバーに配信するために使用されます。

仮想サーバーは、(エンタープライズ・デプロイメントで使用可能な各種サービス用の)適切なホスト・コンピュータおよびポートにトラフィックをルーティングするように構成しておく必要があります。

さらに、サービスが停止したときに特定のサーバーへのトラフィックをできるだけ早く停止できるように、ホスト・コンピュータとポートの可用性を監視するようにロード・バランサを構成する必要があります。これによって、特定の仮想ホストの着信トラフィックが他の層の使用不可のサービスに送信されることがなくなります。

ロード・バランサを構成した後で、同じ名前を持つ一連の仮想ホストを、ロード・バランサに定義した仮想サーバーとして認識するように、Web層のWebサーバー・インスタンスを構成することも可能です。Webサーバーは、ハードウェア・ロード・バランサから受信した各リクエストを、リクエストのヘッダーに記述されているサーバー名に基づいて適切にルーティングできます。詳細は、「管理およびOracle Web Services Manager用のOracle HTTP Serverの構成」を参照してください。

6.1.2 ハードウェア・ロード・バランサの構成の一般的な手順

次に、エンタープライズ・デプロイメントのハードウェア・ロード・バランサを構成するための標準的な手順を説明します。

実際に特定のロード・バランサを構成する手順は、ロード・バランサのタイプによって異なることに注意してください。実際の手順は、ベンダーが提供するドキュメントを参照してください。

1. サーバーのプールを作成します。このプールには、ロード・バランシングの定義に含まれているサーバーとポートのリストが格納されます。

   たとえば、Webホスト間のロード・バランシングの場合、ポート7777のWEBHOST1およびWEBHOST2の両ホストにリクエストを送信するサーバーのプールを作成します。

2. 特定のホストとサービスが使用可能かどうかを決定するルールを作成し、手順1で説明したサーバーのプールに割り当てます。

3. アプリケーションのリクエストを受信するアドレスとポートのために、ロード・バランサ上に必須仮想サーバーを作成します。

   エンタープライズ・デプロイメントで必要な仮想サーバーの一覧は、「エンタープライズ・デプロイメントに必要な仮想サーバーのサマリー」を参照してください。

   ロード・バランサで各仮想サーバーを定義するときは、次のことを考慮します。

   1. ロード・バランサでサポートされている場合は、仮想サーバーが内部から、外部から、またはその両方から利用できるのかどうかを指定します。内部アドレスはネットワーク内からのみ解決可能であることを確認します。

   2. 適用可能な場合は、仮想サーバーに対するSSL終端を構成します。

   3. 手順1で作成したサーバーのプールを仮想サーバーに割り当てます。

6.1.3 エンタープライズ・デプロイメントに必要な仮想サーバーのサマリー

この項では、エンタープライズ・デプロイメントに必要な仮想サーバーの詳細を提供します。

次の表は、Oracle WebCenter Contentエンタープライズ・トポロジのハードウェア・ロード・バランサで定義する必要がある仮想サーバーの一覧です。

仮想ホスト	サーバー・プール	プロトコル	SSL終端	外部
admin.example.com:80	WEBHOST1.example.com:7777 WEBHOST2.example.com:7777	HTTP	いいえ	いいえ
wcc.example.com:443	WEBHOST1.example.com:7777 WEBHOST2.example.com:7777	HTTPS	はい	はい
wccinternal.example.com:80	WEBHOST1.example.com:7777 WEBHOST2.example.com:7777	HTTP	いいえ	いいえ
wccinternal.example.com:6300	WCCHOST1.example.com:4444 WCCHOST2.example.com:4444	TCP	いいえ	いいえ

6.1.4 admin.example.comに関する追加手順

この項では、仮想サーバー(admin.example.com)に必要な追加情報を提供します。

ハードウェア・ロード・バランサでこの仮想サーバーを構成する場合:

• アドレスとポートの変換を有効にします。

• サービスまたはホストが停止した場合に接続のリセットを有効にします。

6.1.5 wcc.example.comに関する追加手順

アドレスwcc.example.comは、ランタイムOracle WebCenter ContentコンポーネントへのすべてのHTTPトラフィックのアクセス・ポイントとして機能する仮想サーバー名です。SSLへのトラフィックが構成されます。クライアントは、HTTP用のアドレスwcc.example.com:443を使用してこのサービスにアクセスします。ハードウェア・ロード・バランサでこの仮想サーバーを構成する場合:

• ポート80とポート443を使用します。ポート80(非SSLプロトコル)に着信するリクエストはすべて、ポート443 (SSLプロトコル)にリダイレクトされる必要があります。

• ANYをプロトコルとして指定します(B2BではHTTPでないプロトコルが必要)。

• アドレスとポートの変換を有効にします。

• サービスやノードが停止した場合に接続のリセットを有効にします。

• この仮想サーバーの/consoleと/emへのアクセスを除外するルールを作成します。

  これらのコンテキスト文字列は、リクエストをOracle WebLogic Server管理コンソールとOracle Enterprise Manager Fusion Middleware Controlにルーティングするため、admin.example.comからシステムへのアクセス時にのみ使用する必要があります。

6.1.6 wccinternal.example.comに関する追加手順

アドレスwccinternal.example.comは、WebCenter ContentおよびSOAサービスの内部起動に使用される仮想サーバー名です。このURLはインターネットに公開されずに、イントラネットからのみアクセスできます。クライアントからの入力トラフィックは、SSL対応ではありません。

このアドレスは、次のように異なるポートを使用するHTTPとRemote Intradoc Client (RIDC)両方のトラフィックで使用されます。

• HTTPトラフィックはポート7777と80を介してルーティングされます。

• RIDCトラフィックはTCP上でポート6300と4400を介してルーティングされます。

HTTPトラフィックはWeb層ホスト・プール(WEBHOST1およびWEBHOST2)に送られます。

エンドユーザーRIDCトラフィック(WebCenter Content ADF UIからなど)は、WebCenter Contentホスト・プール(WCCHOST1およびWCCHOST2)に直接送られます。RIDCトラフィックはロード・バランサのポート6300 (6300は主にマスキング用)を使用しますが、トラフィックは最終的にWebCenterホストのRIDCポート(4444)にルーティングされます。

Oracle SOA Suiteシステムでは、内部サービスの起動に使用するURLと同様に、コンポジットのモデリングの際またはFusion Middleware Controlを介した適切なMBeanによる実行時に、ユーザーはこのURLを設定できます。このURLは、Oracle SOA SuiteからWebCenter Contentコンポーネントへの任意のサービス・コールバックに使用できます。クライアントはwccinternal.example.com:80のアドレスを使用してこのサービスにアクセスし、リクエストはWEBHOST1とWEBHOST2のポート7777に転送されます。

ハードウェア・ロード・バランサでこの仮想サーバーを構成する場合:

• アドレスとポートの変換を有効にします。

• サービスまたはノードが停止した場合に接続のリセットを有効にします。

• wcc.example.comと同様に、この仮想サーバーの/consoleと/emへのアクセスを除外するルールを作成します。

6.2 エンタープライズ・デプロイメントのファイアウォールとポートの構成

この項では、エンタープライズ・デプロイメントでファイアウォール上に開く必要があるポートをリストします。

管理者として、Oracle Fusion Middlewareの様々な製品とサービスで使用されるポート番号を把握する必要があります。こうして、1つのホストで2つのサービスが同じポート番号を使用しないようにし、エンタープライズ・トポロジのファイアウォールで適切なポートを開くようにします。

次の表は、トポロジのファイアウォールで開く必要があるポートの一覧です。

ファイアウォール表記法:

• FW0は、最も外側のファイアウォールを表します。

• FW1は、Web層とアプリケーション層の間のファイアウォールを表します。

• FW2は、アプリケーション層とデータ層との間におけるファイアウォールを示します。

すべてのFusion Middlewareエンタープライズ・デプロイメントに共通のファイアウォール・ポート

タイプ	ファイアウォール	ポートとポートの範囲	プロトコル/アプリケーション	インバウンド/アウトバウンド	その他の考慮事項とタイムアウトのガイドライン
ブラウザによるリクエスト	FW0	80	HTTP/ロード・バランサ	インバウンド	タイムアウトはHTMLコンテンツのサイズとタイプによって異なります。
ブラウザによるリクエスト	FW0	443	HTTPS/ロード・バランサ	インバウンド	タイムアウトはHTMLコンテンツのサイズとタイプによって異なります。
ブラウザによるリクエスト	FW1	80	HTTPS/ロード・バランサ	アウトバウンド(イントラネット・クライアント)	タイムアウトはHTMLコンテンツのサイズとタイプによって異なります。
ブラウザによるリクエスト	FW1	443	HTTPS/ロード・バランサ	アウトバウンド(イントラネット・クライアント)	タイムアウトはHTMLコンテンツのサイズとタイプによって異なります。
コールバックおよびアウトバウンド呼出し	FW1	80	HTTPS/ロード・バランサ	アウトバウンド	タイムアウトはHTMLコンテンツのサイズとタイプによって異なります。
コールバックおよびアウトバウンド呼出し	FW1	443	HTTPS/ロード・バランサ	アウトバウンド	タイムアウトはHTMLコンテンツのサイズとタイプによって異なります。
ロード・バランサからOracle HTTP Serverへ	該当なし	7777	HTTP	該当なし	該当なし
管理サーバーによるOHS登録	FW1	7001	HTTP/t3	インバウンド	タイムアウトを短い時間(5から10秒)に設定します。
管理サーバーによるOHS管理	FW1	OHS管理ポート(7779)	それぞれTCPとHTTP	アウトバウンド	タイムアウトを短い時間(5から10秒)に設定します。
WebLogic Serverクラスタ内におけるセッション・レプリケーション	該当なし	該当なし	該当なし	該当なし	デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。
管理コンソールへのアクセス	FW1	7001	HTTP/管理サーバーとEnterprise Manager t3	両方	管理コンソールへのアクセスのタイプ(アプリケーション層のクライアントからOracle WebLogic Server管理コンソールを使用する予定があるか、またはアプリケーション層の外部のクライアントから使用する予定があるか)に基づいてこのタイムアウト時間をチューニングする必要があります。
データベースへのアクセス	FW2	1521	SQL*Net	両方	タイムアウトは、SOAに使用されるプロセス・モデルのタイプとデータベース・コンテンツによって異なります。
デプロイメント用Coherence	該当なし	8088 範囲: 8000 - 8090		該当なし	該当なし
Oracle Unified Directoryへのアクセス	FW2	389 636 (SSL)	LDAPまたはLDAP/ssl	インバウンド	ロード・バランサに基づいてディレクトリ・サーバーのパラメータをチューニングする必要があります。それ以外の方法ではチューニングしないでください。
Oracle Notification Server (ONS)	FW2	6200	ONS	両方	Gridlinkに必要。ONSサーバーは各データベース・サーバー上で稼働します。

Oracle WebCenter Contentエンタープライズ・デプロイメント固有のファイアウォール・ポート

タイプ	ファイアウォール	ポートとポートの範囲	プロトコル/アプリケーション	インバウンド/アウトバウンド	その他の考慮事項とタイムアウトのガイドライン
Oracle SOA SuiteおよびWSMサーバーへのアクセス	FW1	8001 範囲: 8000 - 8080	HTTP/WLS_SOAn	インバウンド	タイムアウトは、SOAによって使用されるプロセス・モデルのタイプによって異なります。
Oracle WebCenter Contentへのアクセス	FW1	16200	HTTP/WLS_WCCn	インバウンド	ブラウザ・ベースでアクセスします。セッション・タイムアウトを構成します。
RIDC APIリクエスト	FW1	6300	TCP/WLS_WCCn	インバウンド	該当なし
Oracle WebCenter Enterprise Captureへのアクセス	FW1	16400	HTTP/WLS_CPTn	インバウンド	ブラウザ・ベースでアクセスします。セッション・タイムアウトを構成します。
SOA_Clusterメンバー間の通信	該当なし	8001	TCP/IPユニキャスト	該当なし	デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。
WCC_Clusterメンバー間の通信	該当なし	16200	TCP/IPユニキャスト	該当なし	デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。
CPT_Clusterメンバー間の通信	該当なし	16400	TCP/IPユニキャスト	該当なし	デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。