ここでのトピック:
ここでのトピック:
Oracle RACとOracle Database Firewallでデータベース・ポリシー強制(DPE)モードを使用するには、プロキシ・モードの構成を実行することをお薦めします。
この項の手順では、1つのOracle Database Firewallおよび1つのOracle Audit Vault Serverを想定していますが、ここに示す例に従って、簡単により多くのDatabase Firewallを追加できます。Database Firewallがプロキシ・モードで構成されると、次のようになります。
すべてのコンポーネントは同じサブネット内にある必要があります。クライアントとSCANリスナーが異なるサブネットにある場合、2つのネットワーク・インタフェース・カードが必要です(1つはクライアント・サブネット内、もう1つはSCANリスナー・サブネット内)。クライアント、Database Firewallおよびデータベース・サーバーが異なるサブネットに存在する場合、内部Database Firewallルーティングを調整する必要があります。
図11-1は、この章で説明する手順で使用されるセットアップ環境を示しています。
図11-1 Oracle Database FirewallおよびOracle RAC SCAN VIPアーキテクチャ
典型的なリクエスト・フローは次のようになります。
アプリケーションは、データベース・サービス(たとえば、soe.mlg.example.com
)の負荷が最小のインスタンスを検索するため、SCANに対してリクエストを発行します。
SCANにより、node_id_fqdn
:node_id_local_port
の形式で、負荷が最小のインスタンスの接続情報が返されます。従来のSCANでは、node_vip_ip
:node_id_local_port
が返されます。ただし、ここで説明している手順では、IPアドレスは対応する完全修飾ドメイン名に置き換えられます。
アプリケーションは、別のローカルDNSサービスを使用して検索し、node_id_fqdn
をDatabase Firewallプロキシ・インタフェースのIPアドレスに変換します。
リクエストは、Database Firewall内のそれぞれの強制ポイントに転送され、Database Firewall内のプロキシがnode_id_local_port
と同じポートを使用してすでに作成されているものと想定し、接続が行われます。
これで、ユーザーは、適切な管理インタフェースを使用してDatabase Firewallに接続できます。
ユーザーがこの接続を行う場合、Oracle RACノードをセキュア・ターゲットとして使用可能です。
データベース・アクティビティ・モニタリング(DAM)インラインおよびアウト・オブ・バンド・モードを使用して、Oracle RACとともにOracle Database Firewallを構成できます。このタイプの構成は最も簡単です(つまり、即時利用可能です)。
これを行うには、Oracle RACノードのすべてのIPアドレスを、確実にセキュア・ターゲットの構成に含める必要があります。これには、各Oracle RACノードが複数のIPアドレスを持つ、単一のセキュア・ターゲット構成があります。あるいは、各ノードごとに別々のセキュア・ターゲットです。