8 エンタープライズ・デプロイメントのロード・バランサとファイアウォールの準備
ハードウェア・ロード・バランサの構成方法およびファイアウォールでエンタープライズ・デプロイメントに対して開く必要があるポートの構成方法を理解することは重要です。
- ハードウェア・ロード・バランサでの仮想ホストの構成
ハードウェア・ロード・バランサ構成を利用すると、リクエストを認識し、様々な種類のネットワーク・トラフィックや監視に対応する複数の仮想サーバーと関連ポートにリクエストをルーティングすることができます。 - グローバル・ロード・バランサの構成
前述の項で示したとおり、グローバル・ロード・バランサ(GLBR)は複数のローカル・ロード・バランサ間でのリクエストのスマート・ルーティングの実行を担当します。 - エンタープライズ・デプロイメントのファイアウォールとポートの構成
管理者は、Oracle Fusion Middlewareの様々な製品およびサービスで使用されるポート番号を把握することが重要です。そうすることで、同じポート番号が1つのホスト上の2つのサービスによって使用されないようにし、エンタープライズ・トポロジのファイアウォールで正しいポートを開くことができます。 - Exalogicエンタープライズ・デプロイメントのファイアウォールとポートの構成
親トピック: エンタープライズ・デプロイメントの準備
ハードウェア・ロード・バランサでの仮想ホストの構成
ハードウェア・ロード・バランサを構成すると、様々な種類のネットワーク・トラフィックや監視において、円滑にリクエストを認識して複数の仮想サーバーと関連ポートにルーティングできるようになります。
次のトピックでは、ハードウェア・ロード・バランサの構成方法について説明し、必要な仮想サーバーのサマリーを提供し、それらの仮想サーバーのための追加手順を示します。
ハードウェア・ロード・バランサ構成の概要
トポロジのダイアグラムに示すように、リクエストを認識し、様々な種類のネットワーク・トラフィックや監視に対応する複数の仮想サーバーと関連ポートにリクエストをルーティングできるように、ハードウェア・ロード・バランサを構成する必要があります。
ロード・バランシング・デバイスにおける仮想サーバーとは、ロード・バランシングのために複数の物理サーバーを1つのサーバーのように見せかけることができる構成です。仮想サーバーは通常、IPアドレスとサービスによって表され、受信したクライアント・リクエストをサーバー・プール内の各サーバーに配信するために使用されます。
仮想サーバーは、(エンタープライズ・デプロイメントで使用可能な各種サービス用の)適切なホスト・コンピュータおよびポートにトラフィックをルーティングするように構成しておく必要があります。
さらに、サービスが停止したときに特定のサーバーへのトラフィックをできるだけ早く停止できるように、ホスト・コンピュータとポートの可用性を監視するようにロード・バランサを構成する必要があります。これにより、特定の仮想ホストの受信トラフィックが、他の層にある使用できないサービスに送信されないようになります。
ロード・バランサを構成した後で、同じ名前を持つ一連の仮想ホストを、ロード・バランサに定義した仮想サーバーとして認識するように、Web層のWebサーバー・インスタンスを構成することも可能です。Webサーバーは、ハードウェア・ロード・バランサから受信した各リクエストを、リクエストのヘッダーに記述されているサーバー名に基づいて適切にルーティングできます。「管理およびOracle Web Services Manager用のOracle HTTP Serverの構成」を参照してください。
親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成
ハードウェア・ロード・バランサの構成の一般的な手順
次に、エンタープライズ・デプロイメントのハードウェア・ロード・バランサを構成するための標準的なステップを説明します。
特定のロード・バランサを構成する実際の手順は、ロード・バランサのタイプによって異なります。また、ロード・バランシングされるプロトコルのタイプによっても違いが生じる場合があります。たとえば、TCP仮想サーバーとHTTP仮想サーバーはプールで異なる種類のモニターを使用します。実際のステップについては、ベンダーが提供するマニュアルを参照してください。
-
サーバーのプールを作成します。このプールには、ロード・バランシングの定義に含まれているサーバーとポートのリストが格納されます。
たとえば、Webホスト間のロード・バランシングの場合、リクエストをポート7777でWEBHOST1およびWEBHOST2のホストに送信するサーバーのプールを作成します。
-
特定のホストとサービスが使用可能かどうかを決定するルールを作成し、ステップ1で説明したサーバーのプールに割り当てます。
-
アプリケーションに対するリクエストを受信するアドレスおよびポートのロード・バランサで必要な仮想サーバーを作成します。
エンタープライズ・デプロイメントに必要な仮想サーバーの完全なリストは、「エンタープライズ・デプロイメントに必要な仮想サーバーのサマリー」を参照してください。
ロード・バランサで各仮想サーバーを定義するときは、次のことを考慮します。
-
ロード・バランサがこれをサポートする場合は、その仮想サーバーが内部、外部またはその両方で使用可能かどうかを指定します。内部アドレスはネットワーク内からのみ解決可能であることを確認します。
-
適用可能な場合は、仮想サーバーに対するSSL終端を構成します。
-
ステップ1で作成したサーバーのプールを、仮想サーバーに割り当てます。
-
親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成
ロード・バランサのヘルスのモニタリング
ロード・バランサは、ロード・バランサ・プール内のサービスが使用可能であることをチェックするように構成する必要があります。そうしないと、サービスが実行されていないホストにリクエストが送信されます。
次の表で、サービスが使用可能かどうかを判断する方法の例を示します。
表8-1 サービスが使用可能かどうかを判断する方法の例
| サービス | モニター・タイプ | モニター・メカニズム |
|---|---|---|
|
OUD |
ldap |
ldapbind to cn=oudadmin |
|
OHS |
http |
GET /\r\nのチェック |
|
OTD |
http |
GET /\r\nのチェック |
親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成
エンタープライズ・デプロイメントに必要な仮想サーバーのサマリー
このトピックでは、エンタープライズ・デプロイメントに必要な仮想サーバーについて詳細に説明します。
次の表は、Oracle Identity and Access Managementエンタープライズ・トポロジのハードウェア・ロード・バランサで定義する必要がある仮想サーバーの一覧です。
| 仮想ホスト | サーバー・プール | プロトコル | SSL終了? | その他の必要な構成/コメント |
|---|---|---|---|---|
|
|
|
HTTPS |
はい |
アイデンティティ管理では、次のコードをHTTPヘッダーに追加する必要があります。
|
|
|
|
HTTPS |
アイデンティティ管理では、次のコードをHTTPヘッダーに追加する必要があります。
|
|
|
|
|
HTTP |
||
|
|
|
HTTP |
||
|
|
|
HTTP |
||
|
|
|
TCP |
||
|
|
|
TCP |
||
|
|
|
TCP |
いいえ |
アクティブ-アクティブ・マルチ・データセンター・デプロイメントでのみ必要。 |
ノート:
-
ポート80はワークシートの
HTTP_PORTです。 -
ポート443はワークシートの
HTTPS_PORTです。 -
ポート7777はワークシートの
OHS_PORTです。 -
ポート9002はワークシートの
MSAS_PORTです。 -
ポート1389はワークシートの
LDAP_PORTです。OUDはその例です。 -
ポート1636はワークシートの
LDAP_SSL_PORTです。OUDはその例です。 -
ポート5575はワークシートの
OAM_PROXY_PORTです。
親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成
Oracle Identity and Access Management Exalogicデプロイメントに必要な仮想サーバーのサマリー
ExalogicハードウェアへのOracle Identity and Access Managementデプロイメントでは、説明したようにロード・バランサを構成します。
表8-2 ロード・バランサの構成の詳細
| ロード・バランサの仮想サーバー | サーバー・プール | サーバー・プール(外部OHS) | プロトコル | SSL終了 | 外部 | 必要なその他の構成/コメント |
|---|---|---|---|---|---|---|
|
|
|
|
HTTPS |
はい |
はい |
アイデンティティ管理では、次のコードをHTTPヘッダーに追加する必要があります。
|
|
|
|
|
HTTPS |
はい |
はい |
アイデンティティ管理では、次のコードをHTTPヘッダーに追加する必要があります。
|
|
|
|
|
HTTP |
いいえ |
いいえ |
該当なし |
|
|
|
|
HTTP |
いいえ |
いいえ |
該当なし |
|
|
|
|
TCP |
いいえ |
いいえ |
アクティブ-アクティブ・マルチ・データセンター・デプロイメントでのみ必要。 |
脚注1
IS_SSLの構成の詳細は、『Oracle Access Management管理者ガイド』のユーザー定義のWebゲート・パラメータに関する項を参照してください。
フェイルオーバー検出を高速化するOTDフェイルオーバー・グループを使用しない場合は、WEBHOST1-VHNおよびWEBHOST2-VHNをクライアント・アクセス・ネットワークに対応するホスト名で置き換えてください。たとえば、WEBHOST1およびWEBHOST2です。
Exalogicデプロイメントでは、LDAPと内部アプリケーション・コールはOTDを介してロード・バランシングすることが前提となっています。
外部OHSを使用する場合、サーバーは外部OHSホストを指します。
IS_SSLの構成の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のユーザー定義のWebゲート・パラメータに関する項を参照してください。
ノート:
ポート80はワークシートのHTTP_PORTです。
ポート443はワークシートのHTTPS_PORTです。
ポート7777はワークシートのOHS_PORTです。
ポート1389はワークシートのLDAP_PORTです。
ポート1636はワークシートのLDAP_SSL_PORTです。
親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成
グローバル・ロード・バランサの構成
前述の項で示したとおり、グローバル・ロード・バランサ(GLBR)は複数のローカル・ロード・バランサ間でのリクエストのスマート・ルーティングの実行を担当します。
エンタープライズ・デプロイメントのファイアウォールとポートの構成
管理者は、Oracle Fusion Middlewareの様々な製品およびサービスで使用されるポート番号を理解することが重要です。そうすることで、同じポート番号が1つのホスト上の2つのサービスによって使用されないようにし、エンタープライズ・トポロジのファイアウォールで正しいポートを開くことができます。
次の表は、トポロジのファイアウォールで開く必要があるポートの一覧です。
ファイアウォールの表記法:
-
FW0は、最も外側のファイアウォールを表します。
-
FW1は、Web層とアプリケーション層の間のファイアウォールを表します。
-
FW2は、アプリケーション層とデータ層との間におけるファイアウォールを示します。
表8-3 すべてのFusion Middlewareエンタープライズ・デプロイメントに共通のファイアウォール・ポート
| タイプ | ファイアウォール | ポートとポートの範囲 | プロトコル/アプリケーション | インバウンド/アウトバウンド | その他の考慮事項とタイムアウトのガイドライン |
|---|---|---|---|---|---|
|
ブラウザ・リクエスト |
FW0 |
80 |
HTTP/ロード・バランサ |
インバウンド |
タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。 |
|
ブラウザ・リクエスト |
FW0 |
443 |
HTTPS/ロード・バランサ |
インバウンド |
タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。 |
|
ブラウザ・リクエスト |
FW1 |
80 |
HTTP/ロード・バランサ |
アウトバウンド(イントラネット・クライアント) |
タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。 |
|
ブラウザ・リクエスト |
FW1 |
443 |
HTTPS/ロード・バランサ |
アウトバウンド(イントラネット・クライアント) |
タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。 |
|
コールバックおよびアウトバウンド呼出し |
FW1 |
80 |
HTTP/ロード・バランサ |
アウトバウンド |
タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。 |
|
コールバックおよびアウトバウンド呼出し |
FW1 |
443 |
HTTPS/ロード・バランサ |
アウトバウンド |
タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。 |
|
ロード・バランサからOracle HTTP Serverへ |
該当なし |
7777 |
HTTP |
該当なし |
該当なし |
|
管理サーバーによるOHS登録 |
FW1 |
7001 |
HTTP / t3 |
インバウンド |
タイムアウトを短い時間(5から10秒)に設定します。 |
|
管理サーバーによるOHS管理 |
FW1 |
OHS管理ポート(7779) |
TCP / HTTP |
アウトバウンド |
タイムアウトを短い時間(5から10秒)に設定します。 |
|
WebLogicサーバー・クラスタ内でのセッション・レプリケーション |
該当なし |
該当なし |
該当なし |
該当なし |
デフォルトでは、この通信はサーバーのリスニング・アドレスと同じポートを使用します。 |
|
管理コンソールのアクセス |
FW1 |
7001 |
HTTP/管理サーバーとEnterprise Manager t3 |
両方 |
管理コンソールへのアクセスのタイプ(アプリケーション層のクライアントからOracle WebLogic Server管理コンソールを使用する予定があるか、またはアプリケーション層の外部のクライアントから使用する予定があるか)に基づいてこのタイムアウト時間をチューニングする必要があります。 |
|
データベース・アクセス |
FW2 |
1521 |
SQL*Net |
両方 |
タイムアウトは、SOAに使用されるプロセス・モデルのタイプとデータベース・コンテンツによって異なります。 |
|
デプロイメント用Coherence |
該当なし |
9991 |
該当なし |
該当なし |
該当なし |
|
Oracle Unified Directoryアクセス |
FW2 |
389 636 (SSL) |
LDAPまたはLDAP/ssl |
インバウンド |
ロード・バランサに基づいてディレクトリ・サーバーのパラメータをチューニングする必要があります。それ以外の方法ではチューニングしないでください。 |
|
Oracle Notification Server (ONS) |
FW2 |
6200 |
ONS |
両方 |
Gridlinkに必要。ONSサーバーは各データベース・サーバー上で稼働します。 |
表8-4 Oracle Identity and Access Managementエンタープライズ・デプロイメント固有のファイアウォール・ポート
| タイプ | ファイアウォール | ポートとポートの範囲 | プロトコル/アプリケーション | インバウンド/アウトバウンド | その他の考慮事項とタイムアウトのガイドライン |
|---|---|---|---|---|---|
|
Oracle Weblogic管理サーバー(IAMAccessDomain)へのWeb層アクセス |
FW1 |
7010 |
HTTP/Oracle HTTP Serverと管理サーバー |
インバウンド |
該当なし |
|
Oracle Weblogic管理サーバー(IAMGovernanceDomain)へのWeb層アクセス |
FW1 |
7101 |
HTTP/Oracle HTTP Serverと管理サーバー |
インバウンド |
該当なし |
|
WSM-PMのアクセス |
FW1 |
7010 範囲: 7010から7999 |
HTTP / WLS_WSM-PMn |
インバウンド |
タイムアウトを60秒に設定します。 |
|
Enterprise Managerエージェント - Web層からEnterprise Managerへ |
FW1 |
5160 |
HTTP/Enterprise ManagerエージェントとEnterprise Manager |
両方 |
該当なし |
|
Oracle HTTP ServerからWLS_OAMへ |
FW1 |
14100 |
HTTP/Oracle HTTP ServerからWebLogic Serverへ |
インバウンド |
使用される |
|
Oracle HTTP Server WLS_OIM |
FW1 |
14000 |
HTTP/Oracle HTTP ServerからWebLogic Serverへ |
インバウンド |
使用される |
|
Oracle HTTP Server WLS_SOA |
FW1 |
8001 |
HTTP/Oracle HTTP ServerからWebLogic Serverへ |
両方 |
使用される |
|
Oracle HTTP Server WLS_AMA |
FW1 |
14150 |
HTTP/Oracle HTTP ServerからWebLogic Serverへ |
両方 |
使用される |
|
Oracle HTTP Server WLS_BI |
FW1 |
9704 |
HTTP/Oracle HTTP ServerからWebLogic Serverへ |
両方 |
使用される |
|
管理サーバーによるOracle HTTP Serverの管理 |
FW1 |
OPMNリモート・ポート(6701)およびOHS管理ポート(7779) |
それぞれTCPとHTTP |
アウトバウンド |
タイムアウトを短い時間(5-10秒など)に設定します |
|
Access Managerサーバー |
FW1 |
5575 |
OAP |
両方 |
該当なし |
|
Access Manager Coherenceポート |
FW1 |
9095 |
TCMP |
両方 |
該当なし |
|
Oracle Coherenceポート |
FW1 |
8000–8088 |
TCMP |
両方 |
該当なし |
|
アプリケーション層からデータベース・リスナーへ |
FW2 |
1521 |
SQL*Net |
両方 |
Oracle Identity and Access Managementで使用されるプロセス・モデルのタイプとすべてのデータベース・コンテンツに応じて、タイムアウトは異なります |
|
Oracle Notification Server (ONS) |
FW2 |
6200 |
ONS |
両方 |
Gridlinkに必要。ONSサーバーは各データベース・サーバー上で稼働します |
|
OUDポート |
FW2 |
1389 |
LDAP |
インバウンド |
理想的には、タイムアウトが発生しないようにこれらの接続を構成します |
|
OUD SSLポート |
FW2 |
14636 |
LDAPS |
インバウンド |
理想的には、タイムアウトが発生しないようにこれらの接続を構成します |
|
ロード・バランサLDAPポート |
FW2 |
386 |
LDAP |
インバウンド |
理想的には、タイムアウトが発生しないようにこれらの接続を構成します |
|
ロード・バランサLDAP SSLポート |
FW2 |
636 |
LDAPS |
インバウンド |
理想的には、タイムアウトが発生しないようにこれらの接続を構成します |
|
ノード・マネージャ |
該当なし |
5556 |
TCP/IP |
該当なし |
該当なし |
|
Oracle Unified Directoryレプリケーション |
該当なし |
8989 |
TCP/IP |
該当なし |
該当なし |
Exalogicエンタープライズ・デプロイメントのファイアウォールとポートの構成
多くのOracle Fusion Middlewareコンポーネントおよびサービスはポートを使用します。管理者は、これらのサービスが使用するポート番号を把握し、同じポート番号が1つのホスト上の2つのサービスによって使用されないようにする必要があります。
ほとんどのポート番号はインストール時に割り当てられます。
次の表は、Oracle Identity and Access Managementトポロジで使用されるポートの一覧です。これには、トポロジ内のファイアウォール上で開く必要があるポートが含まれます。
ノート:
この表では、
-
FW0は、最も外側のファイアウォールを表します
-
FW1は、Web層とアプリケーション層の間のファイアウォールを表します
-
FW2は、アプリケーション層とデータ層との間におけるファイアウォールを示します
Exalogicシステム:
-
FW1は、ロード・バランサとExadataマシンの間です(外部OHSが使用される場合を除く)。
-
FW2は、データベースがExadata上に存在しない場合のみ存在します。
表8-5 Exalogic参照トポロジで使用されるポート
| タイプ | ファイアウォール | ポートとポートの範囲 | プロトコル/アプリケーション | インバウンド/アウトバウンド | その他の考慮事項とタイムアウトのガイドライン |
|---|---|---|---|---|---|
|
ロード・バランサからOracle Traffic Directorへ |
FW0 |
7777 |
HTTP |
該当なし |
タイムアウトは、Exalogic環境で使用しているOracle Fusion Middleware製品のプロセス・モデルとすべてのHTMLコンテンツに応じて異なります。 |
|
IAMAccessドメインの管理コンソールへのアクセス |
FW1 |
7001 |
HTTP/管理サーバーとEnterprise Manager |
両方 |
管理コンソールへのアクセスのタイプ(アプリケーション層のクライアントまたはアプリケーション層の外部のクライアントからOracle WebLogic Server管理コンソールを使用する予定があるかどうか)に基づいてタイムアウト時間をチューニングする必要があります。 |
|
IAMGovernanceドメインの管理コンソールへのアクセス |
FW1 |
7101 |
HTTP/管理サーバーとEnterprise Manager |
両方 |
管理コンソールへのアクセスのタイプ(アプリケーション層のクライアントまたはアプリケーション層の外部のクライアントからOracle WebLogic Server管理コンソールを使用する予定があるかどうか)に基づいてタイムアウト時間をチューニングする必要があります。 |
|
Coherence |
該当なし |
8088 範囲: 8080 - 8090 |
該当なし |
該当なし |
|
|
アプリケーション層からデータ層へ(イーサネット経由でOracle Exalogicマシン外部のOracle DatabaseまたはRACへ) |
FW2 |
1521 |
該当なし |
該当なし |
|
|
Oracle HTTP Server WLS_OAM |
FW1 |
14100 |
HTTP |
インバウンド |
|
|
Oracle HTTP Server WLS_OIM |
FW1 |
14000 |
HTTP |
インバウンド |
|
|
Oracle HTTP Server WLS_SOA |
FW1 |
8001 |
HTTP |
インバウンド |
|
|
Oracle HTTP Server WLS_AMA |
FW1 |
14150 |
HTTP |
インバウンド |
|