| Oracle® Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド 12c (12.2.1.4.0) E96110-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド 12c (12.2.1.4.0) E96110-02 |
|
|
前 |
次 |
標準的なエンタープライズ・デプロイメント・トポロジのコンポーネントを理解することはきわめて重要です。
この章では、エンタープライズ・デプロイメント・トポロジのダイアグラムについて説明します。
親トピック: エンタープライズ・デプロイメントの理解
このダイアグラムは、Web層、アプリケーション層およびデータ層を含む標準的なエンタープライズ・デプロイメントのすべてのコンポーネントを示しています。すべてのエンタープライズ・デプロイメントは、これらの基本原則に基づいています。
すべてのOracle Fusion Middlewareエンタープライズ・デプロイメントは、Oracle Fusion Middleware本番環境のインストールと構成に関するベスト・プラクティスを示すように設計されています。
ベスト・プラクティス・アプローチは、複数層デプロイメントと、異なるソフトウェア層間の標準的通信の基本概念で始まります。
図2-1に、Web層、アプリケーション層およびデータ層を含む標準的なエンタープライズ・デプロイメントを示します。すべてのエンタープライズ・デプロイメントは、これらの基本原則に基づいています。
標準的なOracle Fusion Middlewareエンタープライズ・デプロイメントで通信に使用される各層と標準プロトコルの説明は、標準的なエンタープライズ・デプロイメント・トポロジ・ダイアグラムについてを参照してください。
親トピック: 標準的なエンタープライズ・デプロイメントについて
標準的なエンタープライズ・デプロイメント・トポロジには、ハードウェア・ロード・バランサ(LBR)、Web層、アプリケーション層およびデータ層が含まれます。この項では、これらのコンポーネントについて詳しく説明します。
親トピック: 標準的なエンタープライズ・デプロイメントについて
トポロジは、ファイアウォールによって隔てられている、次のようないくつかのセキュリティ・ゾーンに分かれています。
Web層(またはDMZ)。ハードウェア・ロード・バランサとユーザーからの初期リクエストを受信するWebサーバー(ここではOracle HTTP Serverインスタンス)で使用されます。このゾーンには、ロード・バランサ上で定義されている単一の仮想サーバー名を介してのみアクセスできます。
アプリケーション層。ビジネス・ロジックとアプリケーション・ロジックが配置されている場所です。
データ層。インターネットからアクセスできず、可用性の高いデータベース・インスタンス用にこのトポロジで予約されます。
ファイアウォールは、特定の通信ポートを介した場合にのみデータ転送が許可されるように構成されています。これらのポート(または、場合によってはファイアウォール内の開いているポートを必要とするプロトコル)は、ダイアグラム内の各ファイアウォール・ライン上に示しています。
次に例を示します。
Web層を保護しているファイアウォールでは、HTTPポート、つまりHTTPS用のポート443とHTTP用のポート80のみが開いています。
アプリケーション層を保護するファイアウォール上では、HTTPポートとMBeanプロキシ・ポートが開いています。
外部HTTPアクセスが必要なアプリケーションは、プロキシとしてOracle HTTP Serverインスタンスを使用できます。このポートはアウトバウンド通信専用であり、Oracle HTTP Serverのプロキシ機能を有効にする必要があります。
データ層を保護しているファイアウォールでは、データベース・リスナー・ポート(通常は1521)が開かれている必要があります。
また、認可プロバイダとLDAPベースのアイデンティティ・ストア間の通信用に、LDAPポート(通常は389と636)も開いている必要があります。
アプリケーション層がOracle RACデータベース・ワークロードとイベントに関する通知を受信できるように、ONSポート(通常は6200)も必要です。これらのイベントは、Oracle RACデータベース・インスタンスの可用性とワークロードに応じて、Oracle WebLogic Server接続プールが迅速に調整(接続の作成または破棄)するために使用されます。
特定のOracle Fusion Middlewareエンタープライズ・デプロイメント・トポロジにおいて開いておく必要があるポートの全リストは、実装するトポロジについて説明している章を参照するか、実装するトポロジのエンタープライズ・デプロイメント・ワークブックを参照してください。「エンタープライズ・デプロイメント・ワークブックの使用」を参照してください。
エンタープライズ・デプロイメント・トポロジは、大まかに次の要素で構成されます。
ハードウェア・ロード・バランサ。インターネットからのリクエストをWeb層内のWebサーバーにルーティングします。また、社内ネットワーク内で内部呼出しを実行する内部クライアントや他のコンポーネントからのリクエストもルーティングします。
Web層。ハードウェア・ロード・バランサと、Webサーバー・インスタンスをホストする複数の物理コンピュータで構成されています(高可用性のため)。
Webサーバー・インスタンスは、ユーザーを認証し(外部アイデンティティ・ストアおよびシングル・サインオン・サーバーを使用)、HTTPリクエストを、アプリケーション層内で実行されているOracle Fusion Middleware製品とコンポーネントにルーティングするように構成されています。
また、Webサーバー・インスタンスは、アプリケーション・ロジックの提供を必要としない静的Webコンテンツをホストします。このようなコンテンツをWeb層に配置することで、アプリケーション・サーバーのオーバーヘッドが低減され、不要なネットワーク・アクティビティが排除されます。
アプリケーション層。Oracle WebLogic Server管理対象サーバーのクラスタとドメイン用の管理サーバーをホストする2つ以上の物理コンピュータで構成されています。管理対象サーバーは、エンタープライズ・デプロイメントでの製品の選択に応じて、Oracle SOA Suite、Oracle Service Bus、Oracle WebCenter Content、Oracle WebCenter Portalなどの様々なOracle Fusion Middleware製品を実行するように構成されています。
データ層。Oracle RACデータベースをホストする2つ以上の物理ホストで構成されています。
次のトピックでは、エンタープライズ・デプロイメントにおけるハードウェア・ロード・バランサとその役割について説明します。
ロード・バランサにはローカル・ロード・バランサとグローバル・ロード・バランサの2つのタイプがあります。ロード・バランサは、Big IP、Cisco、Brocadeなどのハードウェア・デバイスの場合もあれば、Oracle Traffic Directorなどのソフトウェア・アプリケーションの場合もあります。大抵のロード・バランサ・アプライアンスは、ローカルおよびグローバルのどちらのロード・バランサに対しても構成できます。
単一のロード・バランサが単一点障害にならないようにするため、ロード・バランサは常にペアでデプロイするようにします。ほとんどのロード・バランサでは、これをアクティブ・パッシブ手法で実現しています。これを達成する最適な方法は、ロード・バランサのドキュメントを参照してください。
注意:
オラクル社は、いかなる特定のロード・バランサについても保証しません。エンタープライズ・デプロイメント・ガイドで示しているロード・バランサの構成情報は、ガイダンスのみを目的として提供しています。使用しているデバイスの構成に関連するベスト・プラクティスは、ご利用のロード・バランサのベンダーに確認してください。ローカルのロード・バランサは、サイト内のトラフィックを分散する目的で使用されます。HTTPおよびTCPの両方のトラフィックを分散でき、デプロイメントの要件によって使用するオプションが決まります。ローカルのロード・バランサを使用すると、SSLの暗号化および復号が加速される場合があり、またSSLリクエストを終了またはoff-loadさせることができます。ロード・バランサでSSLを終了させると、アプリケーションのパフォーマンスが大幅に向上し、デプロイメント内のソフトウェア暗号化をその場で実行しなくても、サイトに流入およびサイトから流出するトラフィックを暗号化したままにできます。エンタープライズ・デプロイメント・ガイドの環境では、常にローカル・ロード・バランサを使用します。
グローバル・ロード・バランサは、同一の論理環境として稼働させる必要があるサイトが複数存在する場合に使用します。これは、事前に定義したルール・セットを基準にして、サイト間のリクエストを分散させることを目的としています。通常、グローバル・ロード・バランサは、障害回復(DR)デプロイメントまたはアクティブ/アクティブ・マルチ・データ・センター(MDC)デプロイメントで使用されます。
次のトピックでは、エンタープライズ・デプロイメントでハードウェア・ロード・バランサによって処理されるリクエストのタイプについて説明します。
親トピック: ハードウェア・ロード・バランサを介したリクエストの受信
ハードウェア・ロード・バランサは、1つの仮想ホスト名へのリクエストを受信して各リクエストをロード・バランシング・アルゴリズムに基づいてWebサーバー・インスタンスの1つにルーティングすることで、Web層でのロードをバランシングします。このようにして、ロード・バランサは、特定のWebサーバーがHTTPリクエストによってオーバーロードにならないようにします。
ハードウェア・ロード・バランサの特定の仮想ホスト名の用途の詳細は、「標準的なロード・バランサの仮想サーバー名のサマリー」を参照してください。
参照用トポロジでは、HTTPリクエストのみがハードウェア・ロード・バランサからWeb層にルーティングされることに注意してください。Secure Socket Layer (SSL)リクエストはロード・バランサで終了され、HTTPリクエストのみがOracle HTTP Serverインスタンスに転送されます。このガイドでは、ロード・バランサとOracle HTTP Serverインスタンス間およびWeb層とアプリケーション層間のSSL構成について説明していません。
ロード・バランサは、Webサーバーの1つが停止した場合に残りの稼働中のWebサーバーにリクエストがルーティングされるようにすることで、高可用性を実現します。
また、標準的な高可用性構成では、メインのロード・バランシング装置で障害が発生した場合にホット・スタンバイ・デバイスがすぐにサービスを再開できるように、複数のハードウェア・ロード・バランサが構成されます。多種のサービスおよびシステムにとってハードウェア・ロード・バランサは呼出しを行う唯一のアクセス・ポイントとなり、保護されていない場合にはシステム全体の単一障害点(SPOF)となるため、このことは重要です。
親トピック: ハードウェア・ロード・バランサ(LBR)の目的
さらに、ハードウェア・ロード・バランサは、Oracle Fusion Middlewareコンポーネントとアプリケーション層のアプリケーション間に特有の通信をルーティングします。内部専用のリクエストも、一意の仮想ホスト名を使用して、ロード・バランサを介してルーティングされます。
親トピック: ハードウェア・ロード・バランサ(LBR)の目的
前のトピックで説明したローカル・サイト・トラフィックのロード・バランシング機能に加えて、多くのLBRには、DRまたはアクティブ/アクティブMDCトポロジの複数のサイト間でグローバルにロード・バランシングを構成する機能も含まれています。
アクティブ/パッシブDR: サイト1が使用不可でないかぎり、常にサイト1にリクエストを送信し、サイト1が使用不可になった場合にトラフィックをサイト2に送信します。
アクティブ/アクティブMDC: 常にサイト1とサイト2の両方にリクエストを送信します。多くの場合、サイトの物理的な場所に関連して、ソース・リクエストの地理的な場所に基づいて送信されます。アクティブ/アクティブ・デプロイメントは、サポートするアプリケーションでのみ使用可能です。
Application entry point: app.example.com Site 1 - Local Load Balancer Virtual Host: site1app.example.com Site 2 - Local Load Balancer Virtual Host: site2app.example.com
app.example.comに対するリクエストを受信した場合、グローバル・ロード・バランサは、次のように動作します。トポロジがアクティブ/パッシブDRである場合:
app.example.comのIPアドレスをDNSで変更し、アクティブなサイトに対するローカル・ロード・バランサ仮想ホストのIPアドレスとして解決します。例: site1app.example.com (アクティブなサイトであると想定)。
トポロジがアクティブ/アクティブMDCである場合:
app.example.comのIPアドレスをDNSで変更し、site1app.example.comまたはsite2app.example.comのIPアドレスとして解決します。どちらのIPアドレスとするかは、リクエストを発行したクライアントにどちらのサイトが近いかによって決まります。
障害時リカバリの詳細は、『ディザスタ・リカバリ・ガイド』を参照してください。
各種Fusion Middleware製品に関するマルチ・データ・センターのトポロジの詳細は、Oracle Technology Network WebサイトのFusion Middleware向けMAAベスト・プラクティスのページを参照してください。
親トピック: ハードウェア・ロード・バランサ(LBR)の目的
サーバー上のロードのバランシングと高可用性の提供のために、ハードウェア・ロード・バランサは一連の仮想サーバー名を認識するように構成されています。図2-1の命名規則を使用して、このトポロジではハードウェア・ロード・バランサによって次の仮想サーバー名が認識されます。
product.example.com: この仮想サーバー名はすべての受信トラフィックに使用されます。
ユーザーはこのURLを入力して、デプロイしたOracle Fusion Middleware製品およびこのサーバー上で使用可能なカスタム・アプリケーションにアクセスします。その後、ロード・バランサによってそれらのリクエストが(ロード・バランシング・アルゴリズムを使用して)Web層内のサーバーの1つにルーティングされます。このようにすることで、1つの仮想サーバー名を使用してトラフィックを複数のサーバーにルーティングすることが可能になり、Webサーバー・インスタンスのロード・バランシングと高可用性が実現されます。
productinternal.example.com: この仮想サーバー名は、内部通信専用です。
ロード・バランサは、そのネットワーク・アドレス変換(NAT)機能を使用して、アプリケーション層コンポーネントからこのURLへのすべての内部通信をルーティングします。このURLは、インターネット上の外部顧客またはユーザーには公開されていません。各製品の内部URLの使用目的はそれぞれ固有であるため、デプロイメント手順では、仮想サーバー名の先頭に製品名を付けています。
admin.example.com: この仮想サーバー名は、Oracle Enterprise Manager Fusion Middleware ControlおよびOracle WebLogic Server管理コンソール・インタフェースにアクセスする必要がある管理者用です。
このURLは、内部管理者のみが知っています。また、ロード・バランサのNAT機能を使用することで、管理者はドメイン内のアクティブな管理サーバーにルーティングされます。
自身のトポロジに対して定義する必要がある仮想サーバー名の完全なセットについては、製品固有のトポロジが記載されている章を参照してください。
親トピック: ハードウェア・ロード・バランサを介したリクエストの受信
ハードウェア・ロード・バランサを構成する場合は、メインの外部URL (たとえば、http://myapplication.example.com)をポート80およびポート443に割り当てることをお薦めします。
ポート80 (非SSLプロトコル)に対するリクエストはすべて、ポート443 (SSLプロトコル)にリダイレクトする必要があります。このルールの例外としては、パブリックWSDLからのリクエストがあります。「ハードウェア・ロード・バランサでの仮想ホストの構成」を参照してください。
親トピック: ハードウェア・ロード・バランサを介したリクエストの受信
参照トポロジのWeb層は、ロード・バランサからリクエストを受信するWebサーバーで構成されます。標準的なエンタープライズ・デプロイメントでは、Web層に2つ以上のOracle HTTP Serverインスタンスまたは2つ以上のOracle Traffic Directorインスタンスが構成されています。次のトピックで、詳細を説明します。
Oracle HTTP ServerまたはOracle Traffic Directorを含むWeb層の使用は、多くのOracle Fusion Middleware製品の必要条件ではありません。アプリケーション層でハードウェア・ロード・バランサからWLSサーバーへ直接トラフィックをルーティングできます。ただし、Web層にはいくつかの利点があり、それが、参照用トポロジの一部としてお薦めする理由です。
Web層では、WebLogic Serverインスタンスで障害が発生した場合に、より迅速なフェイルオーバーが実現されます。プラグインは、障害が発生したWebLogic Serverインスタンスについて、ピアから得た情報を利用してアクティブに学習します。プラグインでは、障害の発生したサーバーについて、利用可能である旨の通知をピアから受けるまで回避を継続します。ロード・バランサは通常もっと限定されており、それを監視するにはオーバーヘッドが大きくなります。
Web層はDMZパブリック・ゾーンを提供します。これはセキュリティ監査における一般的な必要条件です。ロード・バランサがWebLogic Serverに直接ルーティングを行うと、リクエストがロード・バランサからアプリケーション層に1回のHTTPジャンプで移動するため、セキュリティ上の問題を引き起こす可能性があります。
Web層では、Webサーバー構成を変更することなく、WebLogic Serverクラスタ・メンバーシップを再構成(新規サーバーの追加とサーバーの削除)できます(構成したリスト内のサーバーのいくつかがアライブであることが条件)。
Oracle HTTP ServerはWebLogic Serverより効率的かつ高速に静的コンテンツを提供します。また、Oracle HTTP Server構成ファイルによる仮想ホストおよびプロキシの作成機能も提供します。静的コンテンツをキャッシュするようにOracle Traffic Directorを構成できます。これにより、バック・エンドのサーバーの負荷を削減し、クライアントのパフォーマンスを向上できます。
Web層は、WebLogic Serverが提供する機能に加えてHTTPリダイレクションを提供します。Oracle HTTP ServerまたはOracle Traffic Directorを多様なWebLogic Serverクラスタのフロント・エンドとして使用でき、場合によっては、コンテンツ・ベースのルーティングを使用してルーティングを制御できます。
Oracle HTTP Serverは、エンタープライズ・デプロイメントにシングル・サインオン機能を統合する機能を提供します。たとえば、Oracle Identity and Access Management製品ファミリの一部であるOracle Access Managerを使用して、後からシングル・サインオンをエンタープライズ・デプロイメントに実装できます。
Oracle HTTP ServerまたはOracle Traffic DirectorがあるWeb層は、WebLogic Server内にデプロイされているWebSocket接続のサポートを提供します。
Oracle Traffic Directorは、一部のエンタープライズ・デプロイメントに必要なFTP/SFTPサービスを提供するTCPプロキシとして機能できます。
Oracle HTTP Serverの詳細は、『Oracle HTTP Serverの管理』のOracle HTTP Serverの概要に関する項を参照してください。
Oracle Traffic Directorの詳細は、Oracle Traffic Directorの管理のOracle Traffic Directorスタート・ガイドを参照してください。
親トピック: Web層の理解
Web層はエンタープライズ・トポロジに様々な利点をもたらしますが、中間層でハードウェア・ロード・バランサから管理対象サーバーへリクエストを直接ルーティングする方法もサポートされています。
この方法には、次の利点があります。
フロントエンドOracle HTTP ServerのWeb層フロントエンドを使用するよりも構成と処理のオーバーヘッドが小さい。
管理対象サーバーごとに固有のURLを監視するようにLBRを構成できるので、アプリケーション・レベルでの監視が可能(Oracle HTTP Serverでは不可能)。
このロード・バランサ機能を使用して、SOAコンポジット・アプリケーションのURLを監視することもできます。この場合、すべてのコンポジットがデプロイされたときにのみ管理対象サーバーへのルーティングが可能になります。また、適切な監視ソフトウェアを使用する必要があります。
親トピック: Web層の理解
Oracle Fusion Middleware 12c以降、Oracle HTTP Serverソフトウェアは既存のOracle WebLogic Serverドメインの一部として構成するか、または独自のスタンドアロン・ドメインで構成できるようになりました。各構成には、固有の利点があります。
Oracle HTTP Serverインスタンスを既存のWebLogic Serverドメインの一部として構成すると、Oracle Enterprise Manager Fusion Middleware Controlを使用して、WebサーバーとOracle WebLogic Server管理対象サーバー間の通信のワイヤリングなど、Oracle HTTP Serverインスタンスの管理を行うことができます。Oracle HTTP Serverをスタンドアロン構成で構成すると、Oracle HTTP Serverインスタンスをアプリケーション層のドメインとは別に構成および管理できます。
このエンタープライズ・デプロイメント・ガイドでは、Oracle HTTP Serverインスタンスは、各Web層ホストに1つずつ、別個のスタンドアロン・ドメインとして構成されます。Oracle HTTP Serverインスタンスをアプリケーション層ドメインの一部として構成することもできますが、このエンタープライズ・デプロイメント・ガイドでは、そのようにOracle HTTP Serverインスタンスを構成するための手順は示されません。
『Oracle HTTP Serverのインストールと構成』のOracle HTTP Serverに関する項を参照してください。
親トピック: Web層の理解
ダイアグラムに示すように、Oracle HTTP Serverインスタンスは、Oracle HTTP Serverからアプリケーション層のOracle WebLogic Server管理対象サーバーへのHTTPリクエストのプロキシに、WebLogicプロキシ・プラグイン(mod_wl_ohs)を使用します。
『Oracle WebLogic Serverプロキシ・プラグインの使用』の、Oracle WebLogic Serverプロキシ・プラグインに関する項を参照してください。
親トピック: Web層の理解
アプリケーション層は2つの物理ホスト・コンピュータで構成されており、そこにOracle WebLogic ServerおよびOracle Fusion Middleware製品がインストールされて構成されます。アプリケーション層のコンピュータは、ファイアウォール1とファイアウォール2の間のセキュリティ保護されたゾーンに配置されます。
詳細は、次の各項を参照してください。
ドメイン内の管理対象サーバーとは異なり、管理サーバーはアクティブ/パッシブ高可用性構成を使用します。これは、Oracle WebLogic Serverドメイン内で実行できる管理サーバーは1つのみであるためです。
トポロジ・ダイアグラムでは、HOST1上の管理サーバーがアクティブな状態で、HOST2上の管理サーバーがパッシブ(非アクティブ)の状態です。
システム障害時に管理サーバーの手動フェイル・オーバーをサポートする標準的なエンタープライズ・デプロイメント・トポロジには、次のものが含まれます。
管理サーバーのリクエストのルーティング用の仮想IPアドレス(VIP)
共有記憶域デバイス上の管理サーバー・ドメイン・ディレクトリの構成
システム障害(HOST1の障害など)が発生した場合、管理サーバーのVIPアドレスをドメイン内の別のホストに手動で再割当てし、管理サーバーのドメイン・ディレクトリをその新しいホストにマウントして、新しいホスト上で管理サーバーを起動できます。
ただし、管理サーバーと違い、管理対象サーバーを共有記憶域に格納するメリットはありません。実際に、管理対象サーバーの構成データをホスト・コンピュータのローカル・ディスクに格納しないと、パフォーマンスに影響するおそれがあります。
したがって、標準的なエンタープライズ・デプロイメントでは、管理サーバーのドメインを共有記憶域上で構成すると、ドメイン構成のコピーが各ホスト・コンピュータのローカル記憶域デバイスに配置され、このドメイン構成のコピーから管理対象サーバーが起動されます。このコピーの作成には、Oracle WebLogic Serverのpackおよびunpackユーティリティを使用します。
結果として、各ホストに別個のドメイン・ディレクトリを配置する構成となります。つまり、管理サーバー(共有記憶域上)と管理対象サーバー(ローカル記憶域上)に1つずつ配置します。必要なアクションに応じて、いずれかのドメイン・ディレクトリから構成タスクを実行する必要があります。
管理サーバーのドメイン・ディレクトリと管理対象サーバーのドメイン・ディレクトリの構造、およびこれらのディレクトリの参照に使用する変数の詳細は、「エンタープライズ・デプロイメント用の推奨ディレクトリ構造の理解」を参照してください。
複数ドメイン・ディレクトリ・モデルには追加の利点があります。管理サーバーを管理対象サーバーから切り離すことができます。デフォルトのプライマリ・エンタープライズ・デプロイメント・トポロジでは、アプリケーション層のホストの1つに管理サーバーのドメイン・ディレクトリが存在することを想定していますが、管理サーバーによるCPUまたはRAMの消費量が多いときなど、必要な場合に管理サーバーを独自のホストから実行することで、管理サーバーをさらに分離できます。別の専用ホストに管理サーバーを構成する管理者もいますが、複数ドメイン・ディレクトリ・モデルによってそれが可能となっています。
親トピック: アプリケーション層の理解
Oracle Web Services Manager (Oracle WSM)は、エンタープライズ・デプロイメント・トポロジにおけるWebサービスの管理と保護を目的としたポリシー・フレームワークを提供します。
ほとんどのエンタープライズ・デプロイメント・トポロジでは、Oracle Web Services Manager Policy Managerは、アクティブ/アクティブの高可用性構成でデプロイできる、別のクラスタ内の管理対象サーバー上で実行されます。
その影響について認識している場合は、Oracle Web Services ManagerおよびFusion Middleware製品またはアプリケーションを同じクラスタにターゲット指定することができます。
Oracle Web Services Managerを専用の管理対象サーバーにデプロイする主な理由は、パフォーマンスと可用性の分離性を高めるためです。Oracle Web Services Managerは、多くの場合、カスタムWebサービスまたはドメイン内の他の製品やコンポーネントにポリシーを提供します。このような場合に、Oracle Web Services Managerの追加アクティビティが、Oracle Web Services Managerと同じ管理対象サーバーまたはクラスタを共有するアプリケーションのパフォーマンスに影響を及ぼすことは望ましくありません。
スケール・アウトやスケール・アップのプロセスが発生した場合でも、コンポーネント同士が分離されていれば、より適切な対応が可能です。他の製品に影響を及ぼすことなく、独自の製品がデプロイされているFusion Middlewareアプリケーションの管理対象サーバーのみ、またはOracle Web Services Managerがデプロイされている管理対象サーバーのみをスケール・アウトしたりスケール・アップしたりできます。
親トピック: アプリケーション層の理解
標準的なエンタープライズ・デプロイメントでは、アプリケーション層内の2つ以上のホスト上にあるクラスタで管理対象サーバーを構成します。特定のOracle Fusion Middleware製品について、エンタープライズ・デプロイメント参照トポロジは、管理対象サーバー数、クラスタ数および各クラスタをターゲットとするサービスに関するベスト・プラクティスを示しています。
これらのベスト・プラクティスは、各製品の標準的なパフォーマンス、メンテナンスおよびスケールアウトの各要件を考慮したものです。その結果、管理対象サーバーは、ドメイン内の適切なクラスタ・セットにグループ化されます。
エンタープライズ・デプロイメント・トポロジのバリエーションとして、特定の製品またはコンポーネントを追加のクラスタまたはホストにターゲット設定できます。これにより、パフォーマンスと独立性が向上します。
たとえば、管理サーバーを別個の比較的小規模なホスト・コンピュータにホストすることで、FMWコンポーネントおよび製品を管理サーバーから隔離することを考慮できます。
トポロジのこれらのバリエーションはサポートされていますが、エンタープライズ・デプロイメント参照トポロジでは、高可用性、スケーラビリティおよびセキュリティに留意しながら最小のハードウェア・リソースを使用します。各種サーバーのシステム要件と、システムが対応する必要のある負荷に応じて、適切なリソース・プランニングおよびサイジングを実施してください。これらの決定に基づいて、これらのバリエーションをインストールおよび構成する手順を、このガイドに記載の説明から適切に変更する必要があります。
親トピック: アプリケーション層の理解
Oracle Fusion Middleware 12c以降では、ドメインごとのノード・マネージャまたはホストごとのノード・マネージャのいずれかを使用できます。次の項では、通常のエンタープライズ・デプロイメントに対するノード・マネージャ構成の影響に関して詳細に説明します。
注意:
これら2つのタイプのノード・マネージャの詳細は、『Oracle WebLogic Serverノード・マネージャの管理』で概要に関する項を参照してください。
ドメインごとのノード・マネージャ構成の使用について
ドメインごとのノード・マネージャを構成では、ホストごとのノード・マネージャ構成とは異なり、実際に管理サーバー上で2つのノード・マネージャ・インスタンスを起動します。1つは管理サーバーのドメイン・ディレクトリから、もう1つは管理対象サーバーのドメイン・ディレクトリから起動します。また、トポロジ内の他のホストのそれぞれで別のノード・マネージャ・インスタンスが実行されます。
管理サーバーを制御するノード・マネージャでは、管理サーバー用に作成された仮想ホスト名のリスニング・アドレスが使用されます。管理対象サーバーを制御するノード・マネージャでは、物理ホストのリスニング・アドレスが使用されます。管理サーバーが別のホストにフェイルオーバーされると、ノード・マネージャの追加のインスタンスが開始され、フェイルオーバー・ホスト上の管理サーバーが制御されます。
ドメインごとの構成の主な利点は、ノード・マネージャの初期設定がより簡単かつ単純になることと、管理サーバーで一意のノード・マネージャ・プロパティを設定できることです。クラッシュ・リカバリなどの一部の機能が、管理対象サーバーではなく管理サーバーにのみ適用されていたため、この最後の機能は前のリリースで重要でした。現在のリリースでは、Oracle SOA Suite製品をサーバー全体の移行ではなく、サービスの自動移行用に構成できます。つまり、管理対象サーバーと管理サーバーでクラッシュ・リカバリを利用できるため、管理サーバーおよび管理対象サーバーのドメイン・ディレクトリに別のプロパティを適用する必要がありません。
別の利点は、ドメインごとのノード・マネージャでは、各ドメインに作成されたデモ・アイデンティティ・ストアに基づいて、ノード・マネージャからサーバーへの通信用のデフォルトSSLが提供されることです。
ホストごとのノード・マネージャ構成の使用について
ホストごとのノード・マネージャ構成では、単一のノード・マネージャ・インスタンスを起動して、ホスト上の管理サーバーおよびすべての管理対象サーバーを、別のドメインに存在するものも含めて制御します。これにより、特に同じコンピュータに複数のドメインが共存する場合に、管理サーバー・ホストでのフットプリントおよびリソース使用率が削減されます。
ホストごとのノード・マネージャ構成を使用すると、すべてのノード・マネージャでANYのリスニング・アドレスを使用できるため、ノード・マネージャでホスト上の使用可能なすべてのアドレスがリスンされます。つまり、管理サーバーが新しいホストにフェイルオーバーした場合に、追加の構成が必要ありません。ホストごとの構成を使用すると、複数のノード・マネージャ・プロパティ・ファイルではなく、単一のノード・マネージャ・プロパティ・ファイルを各ホストで更新および管理できるため、管理がより簡単になります。
ホストごとのノード・マネージャ構成には、追加の構成手順が必要です。ノード・マネージャからサーバーへの通信用のSSLが必要な場合は、追加のアイデンティティおよび信頼ストアを構成する必要があります。また、ノード・マネージャで複数のアドレスがリスンされるため、サブジェクト代替名(SAN)を使用する必要があります。SSL通信は2つのファイアウォールによって保護されているため、通常、アプリケーション層は必要ありません。
親トピック: アプリケーション層の理解
エンタープライズ・デプロイメントにおける管理対象サーバーとOracle WebLogic Serverクラスタ内のホストの間の通信にはユニキャスト通信プロトコルをお薦めします。マルチキャスト通信と異なり、ユニキャストではネットワーク間構成は不要です。また、これによって、マルチキャスト・アドレス競合により発生する場合がある潜在的なネットワーク・エラーも減少します。
独自のデプロイメントでマルチキャストかユニキャストのどちらのプロトコルを使用するかを検討するときは、ネットワークの種類、クラスタ内のメンバー数、およびクラスタ・メンバーシップの信頼性要件を考慮してください。また、各プロトコルが持つ次の機能も考慮してください。
エンタープライズ・デプロイメントにおけるユニキャストの機能:
グループ・リーダーを使用し、このリーダーにすべてのサーバーがメッセージを直接送信します。このリーダーは、他のすべてのグループ・メンバーと他のグループ・リーダー(該当する場合)にメッセージを再送信する役割を担います。
ほとんどのネットワーク・トポロジでそのまま動作します。
ネットワーク・トポロジに関係なく、追加の構成は不要です。
単一の欠落ハートビートを使用して、サーバーをクラスタ・メンバーシップ・リストから削除します。
エンタープライズ・デプロイメントにおけるマルチキャストの機能:
マルチキャストは、より拡張性の高いピア・ツー・ピア・モデルを採用します。このモデルでは、サーバーが各メッセージを一度だけネットワークに直接送信し、各クラスタ・メンバーがネットワークからメッセージを直接受信することをネットワークが保証します。
クラスタ・メンバーが単一のサブネット内にある最近のほとんどの環境でそのまま動作します。
クラスタ・メンバーが複数のサブネットにまたがっている場合は、ルーターとWebLogic Server (マルチキャストTTL)で追加構成が必要です。
連続する3つの欠落ハートビートを使用して、サーバーをクラスタ・メンバーシップ・リストから削除します。
どちらのモデルの方がより適切に動作するかは、クラスタ内のサーバー数と、基礎となるアプリケーションにとってクラスタ・メンバーシップが不可欠かどうか(たとえば、セッション・レプリケーションを大量に行うアプリケーションやクラスタ全体でRMI呼出しが大量に発生するクラスタなど)によって異なります。
使用するトポロジがアクティブ/アクティブ型の障害時リカバリ・システムに参加するかどうか、またクラスタが複数のサブネットを横断するどうかを考慮してください。一般に、これらの場合にはユニキャストの方がより適切に動作します。
マルチキャスト通信タイプおよびユニキャスト通信タイプの詳細は、次のリソースを参照してください。
『高可用性ガイド』のWebLogic Serverクラスタ用マルチキャスト・メッセージングの構成に関する項
『Oracle WebLogic Serverクラスタの管理』のユニキャストを使用した1対多通信に関する項
親トピック: アプリケーション層の理解
Oracle Fusion Middleware製品およびコンポーネントの多くでは、認証プロバイダ(アイデンティティ・ストア)、ポリシー、資格証明、キーストアおよび監査データのためにOracle Platform Security Services (OPSS)セキュリティ・ストアが必要です。結果として、アプリケーション層とセキュリティ・プロバイダとの間でリクエストを送受信できるように通信を有効化する必要があります。
認証の場合、この通信は、一般的にポート389または636で通信するOracle Internet Directory (OID)、Oracle Unified Directory (OUD)などのLDAPディレクトリ宛てです。Oracle Fusion Middlewareドメインを構成すると、このドメインはデフォルトでWebLogic Server認証プロバイダを使用するよう構成されます。ただし、エンタープライズ・デプロイメントの場合は、専用の集中管理型のLDAP準拠の認証プロバイダを使用する必要があります。
認可(およびポリシー・ストア)の場合、層によってセキュリティ・ストアの位置が異なります。
アプリケーション層では、認可ストアはデータベース・ベースです。したがって、必要なOPSSデータを取得するために、Oracle WebLogic Server管理対象サーバーからデータベースへの頻繁な接続が必要になります。
Web層では、認可ストアはファイル・ベースです。したがって、データベースへの接続は必要ありません。
OPSSセキュリティ・ストアの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の次の項を参照してください。
認証の基本に関する項
セキュリティ・モデルに関する項
親トピック: アプリケーション層の理解
データ層では、Oracle RACデータベースは2つのホスト(DBHOST1とDBHOST2)上で実行されます。データベースには、Oracle Business IntelligenceコンポーネントとOracle Platform Security Services (OPSS)ポリシー・ストアが必要とするスキーマが含まれています。
エンタープライズ・デプロイメントでは製品およびコンポーネントごとに複数のサービスを定義することで、スループットとパフォーマンスの分離および優先順位の決定ができます。このガイドでは、例として1つのデータベース・サービスを使用します。また、データベースを保護する他の高可用性データベース・ソリューションも使用できます。
Oracle Data Guard: 『Oracle Data Guard概要および管理』のOracle Data Guardの概要に関する項を参照してください。
Oracle RAC One Node: 『Oracle Real Application Clusters管理およびデプロイメント・ガイド』のOracle RAC One Nodeの概要に関する項を参照してください。
これらのソリューションは、エンタープライズ・デプロイメントに一般に適用されるスケーラビリティと可用性の要件を満たす場合、Oracle RACデータベースの使用に重点を置いたこのガイドに記載されている情報以上のデータベース保護を実現します。
高可用性環境でのOracleデータベースの使用の詳細は、『高可用性ガイド』の「データベースに関する考慮事項」を参照してください。
