12 Enterprise Managerのファイアウォールの構成
ファイアウォールは、各ネットワーク・パケットを調べ適切な処理を決定することでネットワーク通信量を制限し、それによって、企業の情報技術(IT)インフラストラクチャを保護します。
ファイアウォールの構成には通常、ファイアウォールの片側(インターネットなど)に有効なポートの制限が含まれます。HTTPなど、特定のポートを通過できる通信の種類を限定するように設定することもできます。クライアントが制限付きポート(セキュリティ・ルールの対象外のポート)に接続を試行したり、不適切なプロトコルを使用すると、クライアントは即座にファイアウォールによって切断されます。特定のサーバーへのユーザー・アクセスを制限するために、ファイアウォールを企業のイントラネット内で使用することもできます。
Enterprise Manager Cloud Controlコンポーネントはエンタープライズ全体の異なるホストにデプロイできます。これらのホストはファイアウォールによって分割されます。この章では、様々なEnterprise Managerコンポーネント間の通信を可能にするファイアウォールの構成方法について説明します。
この章の構成は、次のとおりです。
Enterprise Managerシステムのファイアウォールの構成計画
ファイアウォールの構成はEnterprise Managerのデプロイの最後に行います。ファイアウォールを構成する前に、Enterprise Managerコンソールにログインできることと、Oracle Management Agent (管理エージェント)が稼働中でターゲットをモニタリングしていることを確認してください。確認したら、インストールに使用されるポートの説明に従ってデフォルト・ポートのファイアウォールを構成します。通常、デフォルト・ポートはEnterprise Managerシステムのインストール時に割り当てられます。ただし、Enterprise Managerシステムをインストールするときにデフォルト・ポートではなくカスタム・ポートを使用した場合は、カスタム・ポートのファイアウォールを構成してください。
ファイアウォールがすでに使用可能な環境にEnterprise Managerシステムをデプロイする場合は、インストールおよび構成プロセスを終了してEnterprise Managerにログインできることと、管理エージェントが稼働中でターゲットをモニタリングしていることを確認できるまで、使用するデフォルト・ポートまたはカスタム・ポートを開いておきます。
Oracle Management Service (OMS)のEnterprise Manager Framework Securityを有効にしている場合、その構成プロセスの最終ステップは、管理エージェントからのアップロードをセキュアなチャネルのみに限定することです。そのステップを終了する前に、管理エージェントと管理リポジトリの間でHTTPおよびHTTPS通信の両方が可能となるようにファイアウォールを構成し、Enterprise Managerにログインできることとデータがリポジトリにアップロード中であることを確認するテストを行います。両方のプロトコルが有効な状態でOMSと管理エージェントが通信できることを確認した後、セキュア・モードへの移行を終了し、必要に応じてファイアウォール構成を変更します。ファイアウォールを段階的に構成していくと、構成上の問題をより簡単に解決できます。
Enterprise Managerシステムの標準ファイアウォール構成
Enterprise Managerをファイアウォール保護環境下で動作するように設定する際の主な作業は、可能な場合はプロキシ・サーバーを利用すること、必要なポートのみをセキュアな通信で使用可能にすること、およびビジネスの運営に必要なデータのみがファイアウォールを通過するようにすることです。
図12-1に、ファイアウォールを使用するEnterprise Manager環境のトポロジ、および使用可能なデフォルト・ポートを示します。
図12-1 ファイアウォール・ポートの要件(デフォルト)
上の図で使用している表記規則は次のとおりです。
表12-1 図で使用されている表記規則
表記規則 | 説明 |
---|---|
C |
コールを行う実体。 |
* |
Enterprise Managerは、Enterprise Managerの設定範囲内の使用可能な最初のポートをデフォルトとして使用します。 |
** |
Enterprise Managerは、使用可能な最初のポートをデフォルトとして使用します。 |
*** |
データベース・リスナー・ポート。 |
注意:
-
ポート1159、4898-4989では、1159がデフォルトです。このポートを使用できない場合は、Oracle Management Serviceによって指定範囲内(4889から4897)の検索が行われます。
-
ファイアウォールによって分割された2つのターゲット・ホスト間でクローニングを行うには、それらのエージェントがエージェント・ポートで通信する必要があります。開始管理エージェントがコールを行います。
-
ファイアウォール内でICMP (0)エコー・リプライおよびICMP (8)エコー・リクエストを許可します。
WebブラウザとEnterprise Managerシステムの間のファイアウォールの構成
WebブラウザからEnterprise Managerシステムへの接続は、Oracle HTTP Serverで使用されるデフォルト・ポート経由で実行されます。
Oracle HTTP Serverのデフォルトの非セキュア・ポートは7788です。7788が使用できない場合、7788から7798の範囲で使用可能な最初の空きポートが選択されます。次のURLおよびポートを使用してEnterprise Manager Cloud Controlコンソールにアクセスする場合、Enterprise Manager Cloud Controlコンソールでポート7788を経由してHTTP通信を受信できるように、ファイアウォールを構成する必要があります。
http://omshost.example.com:7788/em
Oracle HTTP Serverのセキュリティを有効にした場合、Oracle HTTP Serverのセキュア・ポートは7799です。7799が使用できない場合、7799から7809の範囲で使用可能な最初の空きポートが選択されます。次のURLおよびポートを使用してEnterprise Manager Cloud Controlコンソールにアクセスする場合、Enterprise Manager Cloud Controlコンソールでポート7799を経由してHTTPS通信を受信できるように、ファイアウォールを構成する必要があります。
https://omshost.example.com:7799/em
ファイアウォールで保護されたホスト上のOMSの構成
OMSがファイアウォールで保護されたホスト上にインストールされ、管理データを提供する管理エージェントがファイアウォールの反対側にある場合は、次の作業を実行する必要があります。
-
管理エージェントとの通信にプロキシ・サーバーを使用するためのOMSの構成で説明するとおり、管理エージェントとの通信にプロキシ・サーバーを使用するようOMSを構成します。
-
管理リポジトリ・アップロード・ポートの管理エージェントからHTTPおよびHTTPS通信を受信できるようにファイアウォールを構成します。
デフォルトの非セキュア・アップロード・ポートは4889です。4889が使用できない場合、4889から4897の範囲で使用可能な最初のポートが選択されます。
Enterprise Manager Framework Securityを有効にしている場合、セキュア・アップロード・ポートは1159です。1159が使用できない場合、4899から4908の範囲で使用可能な最初の空きポートが選択されます。
図12-2には、管理エージェントがファイアウォールで保護されている場合に設定する必要がある接続が示されています。
管理エージェントとの通信にプロキシ・サーバーを使用するためのOMSの構成
この項では、ファイアウォール外の管理エージェントとの通信にプロキシ・サーバーを使用するようにOMSを構成する方法について説明します。
注意:
管理エージェントとの通信に複数のプロキシを使用するよう、OMSを構成することもできます。OMSおよび管理エージェントの構成の詳細は、OMSおよび管理エージェントの通信用プロキシの構成を参照してください。
プロキシ・サーバーを使用するためにOMSを構成するには、次のようにします。
-
「設定」メニューから、「プロキシ設定」を選択し、「エージェント」を選択します。
注意:
エージェントのプロキシ設定ページでは、管理エージェントからOMSではなく、OMSから管理エージェントへのみの通信に使用できるプロキシ・サーバーを構成できます。構成するプロキシ・サーバーは、OMSとすべての管理エージェント間の通信に使用されます。
-
「手動プロキシ構成」を選択します。
-
Specify values for 「プロトコル」、「プロキシ・サーバーのホスト」、「ポート」および「プロキシを使用しないドメイン」の値を指定します。指定したプロキシ・サーバーがセキュリティ・レルムまたはログイン資格証明(あるいはその両方)を使用して構成されている場合、「レルム」、「ユーザー名」および「パスワード」に値を指定します。
-
「テストURL」セクションで、「URL」に管理エージェントのURLを指定し、「テスト」をクリックして、指定した管理エージェントとOMSが指定したプロキシ・サーバーを使用して通信できるかどうかをテストします。
-
接続が成功した場合、「適用」をクリックしてプロキシ設定をリポジトリに保存します。
-
OMSを再起動します。複数OMSの設定を使用している場合、すべてのOMSを再起動します。
Unixベースのプラットフォームで稼働するOMSを再起動するには、次のコマンドを実行します。
<ORACLE_HOME>/bin/emctl stop oms <ORACLE_HOME>/bin/emctl start oms
Microsoft Windowsのプラットフォームで稼働するOMSを再起動するには、次のステップを実行します。
-
「マイ コンピュータ」を右クリックし、「管理」を選択します。
-
「コンピュータの管理」ウィンドウの左側のペインで、「サービスとアプリケーション」を展開し、「サービス」を選択します。
-
「OracleManagementServer_EMGC_OMS*」
サービスを選択し、再起動ボタンをクリックします。
-
ファイアウォールで保護されたホスト上の管理エージェントの構成
管理エージェントがファイアウォールで保護されたホスト上にインストールされ、OMSがファイアウォールの反対側にある場合は、次の作業を実行する必要があります。
-
プロキシ・サーバーを使用するための管理エージェントの構成で説明するとおり、OMSへのアップロードにプロキシ・サーバーを使用するように管理エージェントを構成します。
-
管理エージェント・ポートのOMSからHTTPおよびHTTPS通信を受信できるようにファイアウォールを構成します。
管理エージェント用のデフォルトのアップロード・ポートは、3872です。HTTPとHTTPSの両方に同じポートが使用されます。3872が使用できない場合、1830から1849の範囲で使用可能な最初の空きポートが選択されます。
図12-3には、管理エージェントがファイアウォールで保護されている場合に設定する必要がある接続が示されています。
プロキシ・サーバーを使用するための管理エージェントの構成
ファイアウォール外のOMSとの通信にプロキシ・サーバーを使用するように、またはファイアウォール外のターゲットを管理するように管理エージェントを構成できます。これを行うには、次のステップを実行します。
- 「設定」メニューから「エージェント」を選択します。
- 「管理エージェント」表の「名前」列で、構成するエージェントをクリックします。管理エージェントのターゲット・ホームページが開きます。
- 「エージェント」メニューから「プロパティ」を選択します。
- プルダウン・メニューから「拡張プロパティ」を選択します。
REPOSITORY_PROXYHOST
およびREPOSITORY_PROXYPORT
プロパティの正しい値を指定します。- 「適用」をクリックします(変更は
AGENT_HOME
/sysman/config/emd.properties
ファイルに保存されます)。
注意:
プロキシ・パスワードは、管理エージェントを再起動する際に暗号化されます。
OMSと管理リポジトリの間のファイアウォールの構成
OMSと管理リポジトリの間のセキュアな接続はOracle Advanced Securityの機能を使用して実行されます。このため、OMSと管理リポジトリがファイアウォールで分割されている場合は、Oracle Netのファイアウォール・プロキシをOMSがリポジトリにアクセスできるように構成する必要があります。また、このファイアウォールにタイムアウトを構成した場合は、データベース側でSQLNET.EXPIRE_TIME
パラメータをDead Connection Detection (DCD)用に調整し、このパラメータ($ORACLE_HOME/network/admin/sqlnet.ora
にある)をファイアウォールに構成したタイムアウトの値より小さい値に設定してください。
Enterprise Manager Cloud Controlコンソールと管理対象データベース・ターゲットの間のファイアウォールの構成
Enterprise Manager Cloud Controlコンソールを使用してデータベースを管理する場合、特定のモニタリングおよび管理タスクを実行するには、Enterprise Managerコンソールからデータベースにログインする必要があります。ファイアウォールの反対側のデータベースにログインする場合は、Oracle Netのファイアウォール・プロキシ・アクセスを使用できるようにファイアウォールを構成する必要があります。
特に、管理対象データベースで管理アクティビティを実行する場合は、OMSがOracleリスナー・ポート経由でデータベースと通信するようにファイアウォールが構成されている必要があります。
リスナー・ポートは、Enterprise Managerコンソールのリスナー・ホームページを参照して取得できます。
複数OMSインスタンスのファイアウォールの構成
Enterprise Managerでは、共通の管理リポジトリと通信する複数のOMSインスタンスの使用がサポートされています。たとえば、複数のOMSを使用すると、E-Businessエンタープライズの成長に伴い集中管理機能を拡大していく場合のロード・バランシングに役立ちます。
ファイアウォールで保護された環境で複数のOMSインスタンスをデプロイするときは、次のことに注意してください。
-
各管理エージェントは、1つのOMSにデータをアップロードするように構成されています。このため、管理エージェントとそのOMSの間にファイアウォールがある場合、管理エージェントがアップロードURLを使用してOMSにデータをアップロードできるように、ファイアウォールを構成する必要があります。
-
また、管理エージェントの可用性のチェックのため、各OMSがエンタープライズ内のあらゆる管理エージェントに接続できるようにします。このため、デプロイする各OMSがHTTPまたはHTTPS経由でエンタープライズ内のあらゆる管理エージェントと通信できるように、ファイアウォールを構成する必要があります。
そうでない場合、特定の管理エージェントへアクセスしないOMSは、管理エージェントが実行中かどうかについて正しくない情報をレポートする可能性があります。
My Oracle SupportにアクセスするためのOMSの有効化
環境内でインターネットへのオンライン・アクセスが厳しく禁止されていないかぎり、My Oracle SupportにアクセスできるようにOMSを有効にしてください。このアクセスは、更新やパッチなどのダウンロードに必要です。
最低限、次のURLはファイアウォールを通過できるようにしてください。
-
aru-akam.oracle.com
-
ccr.oracle.com
-
login.oracle.com
-
support.oracle.com
-
updates.oracle.com
これらのURLへの接続に、デフォルトのポート(HTTP接続の場合はポート80、HTTPS接続の場合はポート443)が使用されることを確認します。
dontProxyforプロパティの構成
プロキシ・サーバーを使用するためにOMSまたは管理エージェントを構成する際、プロキシが使用されない特定のURLドメインを指定するdontProxyFor
プロパティの目的を理解することが重要です。
たとえば、次のような状況を想定します。
-
企業のファイアウォール内のホスト上にOMSおよびいくつかの管理エージェントをインストールしています。これらのホストは、内部のドメイン
.example.com
および.example.us.com
内にあります。 -
ファイアウォール外のホスト上にいくつかの追加管理エージェントをインストールしています。これらのホストは
.example.uk
ドメイン内にインストールされています。 -
My Oracle Support上の重要なソフトウェア・パッチを自動的にチェックするようにEnterprise Managerを構成しています。
このケースでは、プロキシ・サーバーを使用せずに、OMSを直接ファイアウォール内の管理エージェントに接続します。その一方で、ファイアウォール外の管理エージェントおよびMy Oracle Supportサイト(次のURLを参照)には、プロキシ・サーバーを使用してOMSを接続します。
http://support.oracle.com
次のプロパティを指定すると、OMSはファイアウォール内の管理エージェントへの接続にプロキシ・サーバーを使用しません。My Oracle Supportおよびファイアウォール外の管理エージェントへの接続は、プロキシ・サーバーを経由して行われます。
proxyHost=proxy42.example.com proxyHost=80 dontProxyFor=.example.com, .example.us.com
Oracleビーコンに対するICMPおよびUDP通信を可能にするためのファイアウォールの構成
Oracleビーコンにより、アプリケーションのパフォーマンス可用性およびパフォーマンス・モニタリングが提供されます。これらはEnterprise Managerの機能の一部です。
関連項目:
Enterprise Managerのオンライン・ヘルプのに関する項
Enterprise Managerでは、業界標準のInternet Control Message Protocol (ICMP)およびユーザー・データグラム・プロトコル(UDP)を使用して、Oracleビーコンとモニタリング対象のネットワーク・コンポーネントの間のデータ転送を行います。Webアプリケーション・コンポーネントとそのコンポーネントをモニターするために使用しているビーコンが、ファイアウォールによって分割される場合があります。このようなケースでは、ICMP通信、UDP通信およびHTTP通信ができるようにファイアウォールを構成する必要があります。
ファイアウォールでのIMCPエコー・リクエストの有効化
OMSは、Internet Control Message Protocol (ICMP)エコー・リクエストを使用してターゲット・ホスト・マシンのステータスを確認します。ICMPエコー・リクエストがファイアウォールによりブロックされると、ホスト・マシンが停止しているように見えます。
環境内のマシンのステータスを判別するには、ファイアウォールでICMPエコー・リクエストを有効にする必要があります。ICMPエコー・リクエストが有効になっている場合、OMSからping
コマンドを発行して、マシンのステータスを確認できます。
必ず、ファイアウォール内でICMP (0)エコー・リプライおよびICMP (8)エコー・リクエストを許可してください。