1. Oracle WebCenter Portalエンタープライズ・デプロイメント・ガイド
  2. エンタープライズ・デプロイメントの理解
  3. 標準的なエンタープライズ・デプロイメントについて

2 標準的なエンタープライズ・デプロイメントについて

標準的なエンタープライズ・デプロイメント・トポロジのコンポーネントを理解することはきわめて重要です。

この章では、エンタープライズ・デプロイメント・トポロジのダイアグラムについて説明します。

親トピック: エンタープライズ・デプロイメントの理解

標準的なエンタープライズ・デプロイメントのダイアグラム

このダイアグラムは、Web層、アプリケーション層およびデータ層を含む標準的なエンタープライズ・デプロイメントのすべてのコンポーネントを示しています。すべてのエンタープライズ・デプロイメントは、これらの基本原則に基づいています。

すべてのOracle Fusion Middlewareエンタープライズ・デプロイメントは、Oracle Fusion Middleware本番環境のインストールと構成に関するベスト・プラクティスを示すように設計されています。

ベスト・プラクティス・アプローチは、複数層デプロイメントと、異なるソフトウェア層間の標準的通信の基本概念で始まります。

図2-1に、Web層、アプリケーション層およびデータ層を含む標準的なエンタープライズ・デプロイメントを示します。すべてのエンタープライズ・デプロイメントは、これらの基本原則に基づいています。

標準的なOracle Fusion Middlewareエンタープライズ・デプロイメントで通信に使用される各層と標準プロトコルの説明は、標準的なエンタープライズ・デプロイメント・トポロジ・ダイアグラムについてを参照してください。

図2-1 標準的なエンタープライズ・デプロイメント・トポロジのダイアグラム

図2-1の説明が続きます
「図2-1 標準的なエンタープライズ・デプロイメント・トポロジのダイアグラム」の説明

親トピック: 標準的なエンタープライズ・デプロイメントについて

標準的なエンタープライズ・デプロイメント・トポロジのダイアグラムについて

標準的なエンタープライズ・デプロイメント・トポロジは、ハードウェア・ロード・バランサ(LBR)、Web層、アプリケーション層およびデータ層で構成されます。この項では、これらのコンポーネントについて詳しく説明します。

親トピック: 標準的なエンタープライズ・デプロイメントについて

標準的なエンタープライズ・デプロイメントのファイアウォールとゾーンの理解

トポロジは、ファイアウォールによって隔てられている、次のようないくつかのセキュリティ・ゾーンに分かれています。

  • Web層(またはDMZ)。ハードウェア・ロード・バランサとWebサーバー(ここではOracle HTTP Serverインスタンス)で使用され、ユーザーからの初期リクエストを受け取ります。このゾーンには、ロード・バランサ上で定義されている単一の仮想サーバー名を介してのみアクセスできます。

  • アプリケーション層。ビジネス・ロジックとアプリケーション・ロジックが配置されている場所です。

  • データ層。インターネットからアクセスできず、可用性の高いデータベース・インスタンス用にこのトポロジで予約されます。

ファイアウォールは、特定の通信ポートを介した場合にのみデータ転送が許可されるように構成されています。これらのポート(またはファイアウォール内の開いているポートを必要とするプロトコル)は、ダイアグラム内の各ファイアウォールのライン上に示されています。

次に例を示します。

  • Web層を保護しているファイアウォールでは、HTTPポート、つまりHTTPS用のポート443とHTTP用のポート80のみが開いています。

  • アプリケーション層を保護するファイアウォール上では、HTTPポートとMBeanプロキシ・ポートが開いています。

    外部HTTPアクセスが必要なアプリケーションは、プロキシとしてOracle HTTP Serverインスタンスを使用できます。このポートはアウトバウンド通信専用であり、Oracle HTTP Serverのプロキシ機能を有効にする必要があります。

  • データ層を保護しているファイアウォールでは、データベース・リスナー・ポート(通常は1521)が開かれている必要があります。

    また、認可プロバイダとLDAPベースのアイデンティティ・ストア間の通信用に、LDAPポート(通常は389と636)も開いている必要があります。

    アプリケーション層がOracle RACデータベースのワークロードとイベントに関する通知を受信できるように、ONSポート(通常は6200)も必要です。これらのイベントは、Oracle RACデータベース・インスタンスの可用性とワークロードに応じて、Oracle WebLogic Server接続プールが迅速に調整(接続の作成または破棄)するために使用されます。

特定のOracle Fusion Middlewareエンタープライズ・デプロイメント・トポロジにおいて開いておく必要があるポートの全リストについては、実装するトポロジについて説明している章を参照するか、エンタープライズ・デプロイメント・ワークブックで実装するトポロジを参照してください。「エンタープライズ・デプロイメント・ワークブックの使用」を参照してください。

親トピック: 標準的なエンタープライズ・デプロイメント・トポロジ・ダイアグラムについて

標準的なエンタープライズ・デプロイメント・トポロジの各要素の理解

エンタープライズ・デプロイメント・トポロジは、大まかに次の要素で構成されます。

  • ハードウェア・ロード・バランサ。インターネットからのリクエストをWeb層内のWebサーバーにルーティングします。また、社内ネットワーク内で内部呼出しを実行する内部クライアントや他のコンポーネントからのリクエストもルーティングします。

  • Web層。ハードウェア・ロード・バランサと、Webサーバー・インスタンスをホストする複数の物理コンピュータ(高可用性のため)で構成されています。

    Webサーバー・インスタンスは、ユーザーを認証し(外部アイデンティティ・ストアおよびシングル・サインオン・サーバーを使用)、HTTPリクエストを、アプリケーション層内で実行されているOracle Fusion Middleware製品とコンポーネントにルーティングするように構成されています。

    また、Webサーバー・インスタンスは、アプリケーション・ロジックの提供を必要としない静的Webコンテンツをホストします。このようなコンテンツをWeb層に配置することで、アプリケーション・サーバーのオーバーヘッドが低減され、不要なネットワーク・アクティビティが排除されます。

  • アプリケーション層。Oracle WebLogic Server管理対象サーバーのクラスタとドメイン用の管理サーバーをホストする2つ以上の物理コンピュータで構成されています。管理対象サーバーは、エンタープライズ・デプロイメントでの製品の選択に応じて、Oracle SOA Suite、Oracle Service Bus、Oracle WebCenter Content、Oracle WebCenter Portalなどの様々なOracle Fusion Middleware製品を実行するように構成されています。

  • データ層。Oracle RACデータベースをホストする2つ以上の物理ホストで構成されています。

親トピック: 標準的なエンタープライズ・デプロイメント・トポロジ・ダイアグラムについて

ハードウェア・ロード・バランサを介したリクエストの受信

次のトピックでは、エンタープライズ・デプロイメントにおけるハードウェア・ロード・バランサとその役割について説明します。

親トピック: 標準的なエンタープライズ・デプロイメント・トポロジ・ダイアグラムについて

ハードウェア・ロード・バランサ(LBR)の目的

ロード・バランサにはローカル・ロード・バランサとグローバル・ロード・バランサの2つのタイプがあります。ロード・バランサは、Big IP、Cisco、Brocadeのようにハードウェアの場合も、Oracle Traffic Directorのようにソフトウェア・アプリケーションの場合もあります。ほとんどのロード・バランサ・アプライアンスは、ローカルおよびグローバルの両方のロード・バランサとして構成できます。

単一のロード・バランサが単一点障害にならないようにするため、ロード・バランサは常にペアでデプロイするようにします。ほとんどのロード・バランサでは、これをアクティブ・パッシブ手法で実現します。これを達成する最適な方法は、ロード・バランサのドキュメントを参照してください。

注意:

オラクル社は、特定のロード・バランサについて動作保証を行いません。エンタープライズ・デプロイメント・ガイドで説明しているロード・バランサの構成情報は、あくまでも参考用であり、ご使用になっているデバイスの構成に関するベスト・プラクティスについては、それぞれのロード・バランサ・ベンダーにお問い合せください。

ローカル・ロード・バランサは、サイト内でトラフィックを分散するために使用します。HTTPおよびTCPの両方のトラフィックを分散でき、デプロイメントの要件によって使用するオプションが決まります。ローカルのロード・バランサを使用すると、SSLの暗号化および復号が加速される場合があり、またSSLリクエストを終了またはoff-loadさせることができます。ロード・バランサでSSLを終了させると、アプリケーションのパフォーマンスが大幅に向上し、デプロイメント内のソフトウェア暗号化をその場で実行しなくても、サイトに流入およびサイトから流出するトラフィックを暗号化したままにできます。エンタープライズ・デプロイメント・ガイドの環境では、常にローカル・ロード・バランサを使用します。

グローバル・ロード・バランサは、同一の論理環境として稼働させる必要があるサイトが複数存在する場合に使用します。これは、事前に定義したルール・セットを基準にして、サイト間のリクエストを分散させることを目的としています。通常、グローバル・ロード・バランサは、障害回復(DR)デプロイメントまたはアクティブ/アクティブ・マルチ・データ・センター(MDC)デプロイメントで使用されます。

次の項では、エンタープライズ・デプロイメントのハードウェア・ロード・バランサによって処理されるリクエストのタイプについて説明します。

インターネットからWeb層内のWebサーバー・インスタンスへのHTTPリクエスト

ハードウェア・ロード・バランサは、1つの仮想ホスト名へのリクエストを受信し、各リクエストをロード・バランシング・アルゴリズムに基づいてWebサーバー・インスタンスの1つにルーティングすることで、Web層への負荷をバランシングします。このようにして、ロード・バランサは、特定のWebサーバーがHTTPリクエストによってオーバーロードにならないようにします。

ハードウェア・ロード・バランサの特定の仮想ホスト名の用途の詳細は、「標準的なロード・バランサの仮想サーバー名のサマリー」を参照してください。

参照用トポロジでは、HTTPリクエストのみがハードウェア・ロード・バランサからWeb層にルーティングされることに注意してください。Secure Socket Layer (SSL)リクエストはロード・バランサで終了され、HTTPリクエストのみがOracle HTTP Serverインスタンスに転送されます。このガイドでは、ロード・バランサとOracle HTTP Serverインスタンス間およびWeb層とアプリケーション層間のSSL構成について説明していません。

ロード・バランサは、Webサーバーの1つが停止した場合に、残りの稼働中のWebサーバーにリクエストがルーティングされるようにすることで、高可用性を実現します。

また、標準的な高可用性構成では、メインのロード・バランシング装置で障害が発生した場合にホット・スタンバイ・デバイスがすぐにサービスを再開できるように、複数のハードウェア・ロード・バランサが構成されます。多種のサービスおよびシステムにとってハードウェア・ロード・バランサは呼出しを行う唯一のアクセス・ポイントとなり、保護されていない場合にはシステム全体の単一障害点(SPOF)となるため、このことは重要です。

アプリケーション層のコンポーネント間特有の内部専用通信

さらに、ハードウェア・ロード・バランサは、Oracle Fusion Middlewareコンポーネントとアプリケーション層のアプリケーション間に特有の通信をルーティングします。内部専用のリクエストも、ロード・バランサを介してルーティングされます(一意の仮想ホスト名を使用する)。

障害回復およびマルチ・データ・センターのトポロジのロード・バランサの考慮事項

前のトピックで説明したローカル・サイト・トラフィックのロード・バランシング機能に加えて、多くのLBRには、DRまたはアクティブ/アクティブMDCトポロジの複数のサイト間でグローバルにロード・バランシングを構成する機能も含まれています。

グローバル・ロード・バランサ構成では、条件DNSを使用して、トラフィックを別のサイトのローカル・ロード・バランサに振り分けます。Oracle Fusion Middlewareのグローバル・ロード・バランサは、通常DRまたはMDCトポロジ向けに構成されます。

  • アクティブ/パッシブDR: サイト1が使用不可でないかぎりリクエストを常にサイト1に送信します(使用不可の場合は、サイト2にトラフィックを送信します)。

  • アクティブ/アクティブMDC - 常にサイト1とサイト2の両方にリクエストを送信します。多くの場合、サイトの物理的な地理的位置を基準とした、ソース・リクエストの地理的位置に基づいて送信されます。アクティブ/アクティブ・デプロイメントは、サポートするアプリケーションでのみ使用可能です。

次に例を示します。
Application entry point:  app.example.com

Site 1 - Local Load Balancer Virtual Host:  site1app.example.com
Site 2 - Local Load Balancer Virtual Host:  site2app.example.com
app.example.comに対するリクエストを受信すると、グローバル・ロード・バランサは次のように動作します。

  • トポロジがアクティブ/パッシブDRである場合:

    DNS内のapp.example.comのIPアドレスを変更し、アクティブなサイトのローカル・ロード・バランサの仮想ホストのIPアドレスとして解決します。例: site1app.example.com (アクティブなサイトであると想定)。

  • トポロジがアクティブ/アクティブMDCである場合:

    app.example.comのIPアドレスをDNSで変更し、site1app.example.comまたはsite2app.example.comのIPアドレスとして解決します。どちらのIPアドレスとするかは、リクエストを発行したクライアントにどちらのサイトが近いかによって決まります。

障害時リカバリの詳細は、『ディザスタ・リカバリ・ガイド』を参照してください。

各種Fusion Middleware製品に関するマルチ・データ・センターのトポロジの詳細は、Oracle Technology Network WebサイトのFusion Middleware向けMAAベスト・プラクティスのページを参照してください。

標準的なロード・バランサの仮想サーバー名のサマリー

サーバー上のロードのバランシングと高可用性の提供のために、ハードウェア・ロード・バランサは一連の仮想サーバー名を認識するように構成されています。図2-1の命名規則を使用して、このトポロジではハードウェア・ロード・バランサによって次の仮想サーバー名が認識されます。

  • product.example.com: この仮想サーバー名はすべての受信トラフィックに使用されます。

    ユーザーはこのURLを入力して、デプロイしたOracle Fusion Middleware製品およびこのサーバー上で使用可能なカスタム・アプリケーションにアクセスします。その後、ロード・バランサによってそれらのリクエストが(ロード・バランシング・アルゴリズムを使用して)Web層内のサーバーの1つにルーティングされます。このようにすることで、1つの仮想サーバー名を使用してトラフィックを複数のサーバーにルーティングすることが可能になり、Webサーバー・インスタンスのロード・バランシングと高可用性が実現されます。

  • productinternal.example.com: この仮想サーバー名は、内部通信専用です。

    ロード・バランサは、そのネットワーク・アドレス変換(NAT)機能を使用して、アプリケーション層コンポーネントからこのURLへのすべての内部通信をルーティングします。このURLは、インターネット上の外部顧客またはユーザーには公開されていません。各製品には、内部URLに固有の用途があるため、デプロイメント手順では、仮想サーバー名の前に製品名を付加しています。

  • admin.example.com: この仮想サーバー名は、Oracle Enterprise Manager Fusion Middleware ControlおよびOracle WebLogic Server管理コンソール・インタフェースにアクセスする必要がある管理者用です。

    このURLは、内部管理者のみが知っています。また、ロード・バランサのNAT機能を使用することで、管理者はドメイン内のアクティブな管理サーバーにルーティングされます。

自身のトポロジに対して定義する必要がある仮想サーバー名の完全なセットについては、製品固有のトポロジが記載されている章を参照してください。

外部仮想サーバー名に対するHTTPSリクエストとHTTPリクエストの対比

ハードウェア・ロード・バランサを構成する場合は、メインの外部URL (たとえば、http://myapplication.example.com)をポート80およびポート443に割り当てることをお薦めします。

ポート80 (非SSLプロトコル)に対するリクエストはすべて、ポート443 (SSLプロトコル)にリダイレクトする必要があります。このルールの例外としては、パブリックWSDLからのリクエストがあります。「ハードウェア・ロード・バランサでの仮想ホストの構成」を参照してください。

Web層の理解

参照トポロジのWeb層は、ロード・バランサからリクエストを受信するWebサーバーで構成されます。標準的なエンタープライズ・デプロイメントでは、Web層内に2つ以上のOracle HTTP Serverインスタンスが構成されています。次のトピックで、詳細を説明します。

親トピック: 標準的なエンタープライズ・デプロイメント・トポロジ・ダイアグラムについて

リクエストのルーティングにOracle HTTP Serverインスタンスを使用する利点

Oracle HTTP Serverを含むWeb層の使用は、多くのOracle Fusion Middleware製品の必要条件ではありません。アプリケーション層でハードウェア・ロード・バランサからWLSサーバーへ直接トラフィックをルーティングできます。ただし、Web層にはいくつかの利点があり、それが、参照用トポロジの一部としてお薦めする理由です。

  • Web層はDMZパブリック・ゾーンを提供します。これはセキュリティ監査における一般的な必要条件です。ロード・バランサがWebLogic Serverに直接ルーティングを行うと、リクエストがロード・バランサからアプリケーション層に1回のHTTPジャンプで移動するため、セキュリティ上の問題を引き起こす可能性があります。

  • Web層では、Webサーバー構成を変更することなく、WebLogic Serverクラスタ・メンバーシップを再構成(新規サーバーの追加とサーバーの削除)できます(構成したリスト内のサーバーのいくつかがアライブであることが条件)。

  • Oracle HTTP ServerはWebLogic Serverより効率的かつ高速に静的コンテンツを提供します。また、一部のエンタープライズ・デプロイメントに必要なFTPサービス、およびOracle HTTP Server構成ファイルによる仮想ホストおよびプロキシの作成機能も提供します。

  • Oracle HTTP Serverは、WebLogic Serverが提供する機能に加えてHTTPリダイレクションを提供します。Oracle HTTP Serverを多様なWebLogic Serverクラスタのフロント・エンドとして使用でき、場合によっては、コンテンツ・ベースのルーティングを実行してルーティングを制御できます。

  • Oracle HTTP Serverは、エンタープライズ・デプロイメントにシングル・サインオン機能を統合する機能を提供します。たとえば、Oracle Identity and Access Management製品ファミリの一部であるOracle Access Managerを使用して、後からシングル・サインオンをエンタープライズ・デプロイメントに実装できます。

  • Oracle HTTP Serverは、WebLogic Server内にデプロイされているWebSocket接続のサポートを提供します。

Oracle HTTP Serverの詳細は、『Oracle HTTP Serverの管理』Oracle HTTP Serverの概要に関する項を参照してください。

親トピック: Web層の理解

Web層でのOracle HTTP Serverの使用にかわる方法

Oracle HTTP Serverはエンタープライズ・トポロジに様々な利点をもたらしますが、中間層でハードウェア・ロード・バランサから管理対象サーバーへリクエストを直接ルーティングする方法もサポートされています。

この方法には、次の利点があります。

  • フロントエンドOracle HTTP ServerのWeb層フロントエンドを使用するよりも構成と処理のオーバーヘッドが小さい。

  • 管理対象サーバーごとに固有のURLを監視するようにLBRを構成できるので、アプリケーション・レベルでの監視が可能(OHSでは不可能)。

    この場合、すべてのコンポジットがデプロイされたときにのみ管理対象サーバーへのルーティングが可能になります。また、適切な監視ソフトウェアを使用する必要があります。

親トピック: Web層の理解

Web層でのOracle HTTP Serverの構成

Oracle Fusion Middleware 12c以降、Oracle HTTP Serverソフトウェアは既存のOracle WebLogic Serverドメインの一部として構成するか、または独自のスタンドアロン・ドメインで構成できるようになりました。各構成には、固有の利点があります。

Oracle HTTP Serverインスタンスを既存のWebLogic Serverドメインの一部として構成すると、Oracle Enterprise Manager Fusion Middleware Controlを使用して、WebサーバーとOracle WebLogic Server管理対象サーバー間の通信のワイヤリングなど、Oracle HTTP Serverインスタンスの管理を行うことができます。Oracle HTTP Serverをスタンドアロン構成で構成すると、Oracle HTTP Serverインスタンスをアプリケーション層のドメインとは別に構成および管理できます。

このエンタープライズ・デプロイメント・ガイドでは、Oracle HTTP Serverインスタンスは、各Web層ホストに1つずつ、別個のスタンドアロン・ドメインとして構成されます。Oracle HTTP Serverインスタンスをアプリケーション層ドメインの一部として構成することもできますが、このエンタープライズ・デプロイメント・ガイドでは、そのようにOracle HTTP Serverインスタンスを構成するためのステップは示されません。

『Oracle HTTP Serverのインストールと構成』Oracle HTTP Serverに関する項を参照してください。

親トピック: Web層の理解

Mod_WL_OHSについて

ダイアグラムに示すように、Oracle HTTP Serverインスタンスは、Oracle HTTP Serverからアプリケーション層のOracle WebLogic Server管理対象サーバーへのHTTPリクエストのプロキシに、WebLogicプロキシ・プラグイン(mod_wl_ohs)を使用します。

『Oracle WebLogic Serverプロキシ・プラグインの使用』の、Oracle WebLogic Serverプロキシ・プラグインに関する項を参照してください。

親トピック: Web層の理解

アプリケーション層の理解

アプリケーション層は2つの物理ホスト・コンピュータで構成されており、そこにOracle WebLogic ServerおよびOracle Fusion Middleware製品がインストールされて構成されます。アプリケーション層のコンピュータは、ファイアウォール1とファイアウォール2の間のセキュリティ保護されたゾーンに配置されます。

詳細は、次の各項を参照してください。

親トピック: 標準的なエンタープライズ・デプロイメント・トポロジ・ダイアグラムについて

管理サーバーと管理対象サーバーのドメイン・ディレクトリの構成

ドメイン内の管理対象サーバーとは異なり、管理サーバーはアクティブ/パッシブ高可用性構成を使用します。これは、Oracle WebLogic Serverドメイン内で実行できる管理サーバーは1つのみであるためです。

トポロジ・ダイアグラムでは、HOST1上の管理サーバーがアクティブな状態で、HOST2上の管理サーバーがパッシブ(非アクティブ)の状態です。

システム障害時に管理サーバーの手動フェイル・オーバーをサポートする標準的なエンタープライズ・デプロイメント・トポロジには、次のものが含まれます。

  • 管理サーバーのリクエストのルーティング用の仮想IPアドレス(VIP)

  • 共有記憶域デバイス上の管理サーバー・ドメイン・ディレクトリの構成

システム障害(HOST1の障害など)が発生した場合、管理サーバーのVIPアドレスをドメイン内の別のホストに手動で再割当てし、管理サーバーのドメイン・ディレクトリをその新しいホストにマウントして、新しいホスト上で管理サーバーを起動できます。

ただし、管理サーバーと違い、管理対象サーバーを共有記憶域に格納するメリットはありません。実際に、管理対象サーバーの構成データをホスト・コンピュータのローカル・ディスクに格納しないと、パフォーマンスに影響するおそれがあります。

したがって、標準的なエンタープライズ・デプロイメントでは、管理サーバーのドメインを共有記憶域上で構成すると、ドメイン構成のコピーが各ホスト・コンピュータのローカル記憶域デバイスに配置され、このドメイン構成のコピーから管理対象サーバーが起動されます。このコピーの作成には、Oracle WebLogic Serverのpackおよびunpackユーティリティを使用します。

結果として、各ホストに別個のドメイン・ディレクトリを配置する構成となります。つまり、管理サーバー(共有記憶域上)と管理対象サーバー(ローカル記憶域上)に1つずつ配置します。必要なアクションに応じて、いずれかのドメイン・ディレクトリから構成タスクを実行する必要があります。

管理サーバーのドメイン・ディレクトリと管理対象サーバーのドメイン・ディレクトリの構造、およびこれらのディレクトリの参照に使用する変数の詳細は、「エンタープライズ・デプロイメント用の推奨ディレクトリ構造の理解」を参照してください。

複数ドメイン・ディレクトリ・モデルには追加の利点があります。管理サーバーを管理対象サーバーから切り離すことができます。デフォルトのプライマリ・エンタープライズ・デプロイメント・トポロジでは、アプリケーション層のホストの1つに管理サーバーのドメイン・ディレクトリが存在することを想定していますが、管理サーバーによるCPUまたはRAMの消費量が多いときなど、必要な場合に管理サーバーを独自のホストから実行することで、管理サーバーをさらに分離できます。別の専用ホストに管理サーバーを構成する管理者もいますが、複数ドメイン・ディレクトリ・モデルによってそれが可能となっています。

アプリケーション層でのOracle Web Services Managerの使用

Oracle Web Services Manager (Oracle WSM)は、エンタープライズ・デプロイメント・トポロジにおけるWebサービスの管理と保護を目的としたポリシー・フレームワークを提供します。

ほとんどのエンタープライズ・デプロイメント・トポロジでは、Oracle Web Services Manager Policy Managerは、アクティブ/アクティブの高可用性構成でデプロイできる、別のクラスタ内の管理対象サーバー上で実行されます。

その影響について認識している場合は、Oracle Web Services ManagerおよびFusion Middleware製品またはアプリケーションを同じクラスタにターゲット指定することができます。

Oracle Web Services Managerを専用の管理対象サーバーにデプロイする主な理由は、パフォーマンスと可用性の分離性を高めるためです。Oracle Web Services Managerは、多くの場合、カスタムWebサービスまたはドメイン内の他の製品やコンポーネントにポリシーを提供します。このような場合に、Oracle Web Services Managerの追加アクティビティが、Oracle Web Services Managerと同じ管理対象サーバーまたはクラスタを共有するアプリケーションのパフォーマンスに影響を及ぼすことは望ましくありません。

スケール・アウトやスケール・アップのプロセスが発生した場合でも、コンポーネント同士が分離されていれば、より適切な対応が可能です。他の製品に影響を及ぼすことなく、独自の製品がデプロイされているFusion Middlewareアプリケーションの管理対象サーバーのみ、またはOracle Web Services Managerがデプロイされている管理対象サーバーのみをスケール・アウトしたりスケール・アップしたりできます。

アプリケーション層におけるクラスタとホストの構成のベスト・プラクティスとバリエーション

標準的なエンタープライズ・デプロイメントでは、アプリケーション層内の2つ以上のホスト上にあるクラスタで管理対象サーバーを構成します。特定のOracle Fusion Middleware製品について、エンタープライズ・デプロイメント参照トポロジは、管理対象サーバー数、クラスタ数および各クラスタをターゲットとするサービスに関するベスト・プラクティスを示しています。

これらのベスト・プラクティスは、各製品の標準的なパフォーマンス、メンテナンスおよびスケールアウトの各要件を考慮したものです。その結果、管理対象サーバーは、ドメイン内の適切なクラスタ・セットにグループ化されます。

エンタープライズ・デプロイメント・トポロジのバリエーションとして、特定の製品またはコンポーネントを追加のクラスタまたはホストにターゲット設定できます。これにより、パフォーマンスと独立性が向上します。

たとえば、管理サーバーを別個の比較的小規模なホスト・コンピュータにホストすることで、FMWコンポーネントおよび製品を管理サーバーから隔離することを考慮できます。

トポロジのこれらのバリエーションはサポートされていますが、エンタープライズ・デプロイメント参照トポロジでは、高可用性、スケーラビリティおよびセキュリティに留意しながら最小のハードウェア・リソースを使用します。各種サーバーのシステム要件と、システムが対応する必要のある負荷に応じて、適切なリソース・プランニングおよびサイジングを実施してください。これらの決定に基づいて、これらのバリエーションをインストールおよび構成するステップを、このガイドに記載の説明から適切に変更する必要があります。

標準的なエンタープライズ・デプロイメントのノード・マネージャ構成について

Oracle Fusion Middleware 12c以降では、ドメインごとのノード・マネージャまたはホストごとのノード・マネージャのいずれかを使用できます。次の項では、通常のエンタープライズ・デプロイメントに対するノード・マネージャ構成の影響に関して詳細に説明します。

注意:

2つのタイプのノード・マネージャの詳細は、『Oracle WebLogic Serverノード・マネージャの管理』概要に関する項を参照してください。

ドメインごとのノード・マネージャ構成の使用について

ドメインごとのノード・マネージャを構成では、ホストごとのノード・マネージャ構成とは異なり、実際に管理サーバー上で2つのノード・マネージャ・インスタンスを起動します。1つは管理サーバーのドメイン・ディレクトリから、もう1つは管理対象サーバーのドメイン・ディレクトリから起動します。また、トポロジ内の他のホストのそれぞれで別のノード・マネージャ・インスタンスが実行されます。

管理サーバーを制御するノード・マネージャでは、管理サーバー用に作成された仮想ホスト名のリスニング・アドレスが使用されます。管理対象サーバーを制御するノード・マネージャでは、物理ホストのリスニング・アドレスが使用されます。管理サーバーが別のホストにフェイルオーバーされると、ノード・マネージャの追加のインスタンスが開始され、フェイルオーバー・ホスト上の管理サーバーが制御されます。

ドメインごとの構成の主な利点は、ノード・マネージャの初期設定がより簡単かつ単純になることと、管理サーバーで一意のノード・マネージャ・プロパティを設定できることです。クラッシュ・リカバリなどの一部の機能が、管理対象サーバーではなく管理サーバーにのみ適用されていたため、この最後の機能は前のリリースで重要でした。現在のリリースでは、Oracle SOA Suite製品をサーバー全体の移行ではなく、サービスの自動移行用に構成できます。つまり、管理対象サーバーと管理サーバーでクラッシュ・リカバリを利用できるため、管理サーバーおよび管理対象サーバーのドメイン・ディレクトリに別のプロパティを適用する必要がありません。

別の利点は、ドメインごとのノード・マネージャでは、各ドメインに作成されたデモ・アイデンティティ・ストアに基づいて、ノード・マネージャからサーバーへの通信用のデフォルトSSLが提供されることです。

ホストごとのノード・マネージャ構成の使用について

ホストごとのノード・マネージャ構成では、単一のノード・マネージャ・インスタンスを起動して、ホスト上の管理サーバーおよびすべての管理対象サーバーを、別のドメインに存在するものも含めて制御します。これにより、特に同じコンピュータに複数のドメインが共存する場合に、管理サーバー・ホストでのフットプリントおよびリソース使用率が削減されます。

ホストごとのノード・マネージャ構成では、すべてのノード・マネージャがリスニング・アドレスANYを使用できるため、ホスト上で使用可能なすべてのアドレスをリスニングします。つまり、管理サーバーが新しいホストにフェイルオーバーした場合に、追加の構成が必要ありません。ホストごとの構成を使用すると、複数のノード・マネージャ・プロパティ・ファイルではなく、単一のノード・マネージャ・プロパティ・ファイルを各ホストで更新および管理できるため、管理がより簡単になります。

ホストごとのノード・マネージャ構成には、追加の構成ステップが必要です。ノード・マネージャからサーバーへの通信用のSSLが必要な場合は、追加のアイデンティティおよび信頼ストアを構成する必要があります。また、ノード・マネージャで複数のアドレスがリスンされるため、サブジェクト代替名(SAN)を使用する必要があります。SSL通信は2つのファイアウォールによって保護されているため、通常、アプリケーション層は必要ありません。

アプリケーション層内での通信のためのユニキャストの使用について

エンタープライズ・デプロイメントにおける管理対象サーバーとOracle WebLogic Serverクラスタ内のホストの間の通信にはユニキャスト通信プロトコルをお薦めします。マルチキャスト通信と異なり、ユニキャストではネットワーク間構成は不要です。また、これによって、マルチキャスト・アドレス競合により発生する場合がある潜在的なネットワーク・エラーも減少します。

独自のデプロイメントでマルチキャストかユニキャストのどちらのプロトコルを使用するかを検討するときは、ネットワークの種類、クラスタ内のメンバー数、およびクラスタ・メンバーシップの信頼性要件を考慮してください。また、各プロトコルが持つ次の機能も考慮してください。

エンタープライズ・デプロイメントにおけるユニキャストの機能:

  • グループ・リーダーを使用し、このリーダーにすべてのサーバーがメッセージを直接送信します。このリーダーは、他のすべてのグループ・メンバーと他のグループ・リーダー(該当する場合)にメッセージを再送信する役割を担います。

  • ほとんどのネットワーク・トポロジでそのまま動作します。

  • ネットワーク・トポロジに関係なく、追加の構成は不要です。

  • 単一の欠落ハートビートを使用して、サーバーをクラスタ・メンバーシップ・リストから削除します。

エンタープライズ・デプロイメントにおけるマルチキャストの機能:

  • マルチキャストは、より拡張性の高いピア・ツー・ピア・モデルを採用します。このモデルでは、サーバーが各メッセージを一度だけネットワークに直接送信し、各クラスタ・メンバーがネットワークからメッセージを直接受信することをネットワークが保証します。

  • クラスタ・メンバーが単一のサブネット内にある最近のほとんどの環境でそのまま動作します。

  • クラスタ・メンバーが複数のサブネットにまたがっている場合は、ルーターとWebLogic Server (マルチキャストTTL)で追加構成が必要です。

  • 連続する3つの欠落ハートビートを使用して、サーバーをクラスタ・メンバーシップ・リストから削除します。

どちらのモデルの方がより適切に動作するかは、クラスタ内のサーバー数と、基礎となるアプリケーションにとってクラスタ・メンバーシップが不可欠かどうか(たとえば、セッション・レプリケーションを大量に行うアプリケーションやクラスタ全体でRMI呼出しが大量に発生するクラスタなど)によって異なります。

使用するトポロジがアクティブ/アクティブ型の障害時リカバリ・システムに参加するかどうか、またクラスタが複数のサブネットを横断するどうかを考慮してください。一般に、これらの場合にはユニキャストの方がより適切に動作します。

マルチキャスト通信タイプおよびユニキャスト通信タイプの詳細は、次のリソースを参照してください。

OPSSおよび認証ストアと認可ストアへのリクエストの理解

Oracle Fusion Middleware製品およびコンポーネントの多くでは、認証プロバイダ(アイデンティティ・ストア)、ポリシー、資格証明、キーストアおよび監査データのためにOracle Platform Security Services (OPSS)セキュリティ・ストアが必要です。結果として、アプリケーション層とセキュリティ・プロバイダとの間でリクエストを送受信できるように通信を有効化する必要があります。

認証の場合、この通信は、一般的にポート389または636で通信するOracle Internet Directory (OID)、Oracle Unified Directory (OUD)などのLDAPディレクトリ宛てです。Oracle Fusion Middlewareドメインを構成すると、このドメインはデフォルトでWebLogic Server認証プロバイダを使用するよう構成されます。ただし、エンタープライズ・デプロイメントの場合は、専用の集中管理型のLDAP準拠の認証プロバイダを使用する必要があります。

認可(およびポリシー・ストア)の場合、層によってセキュリティ・ストアの位置が異なります。

  • アプリケーション層では、認可ストアはデータベース・ベースです。したがって、必要なOPSSデータを取得するために、Oracle WebLogic Server管理対象サーバーからデータベースへの頻繁な接続が必要になります。

  • Web層では、認可ストアはファイル・ベースです。したがって、データベースへの接続は必要ありません。

OPSSセキュリティ・ストアの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の次の項を参照してください。

標準的なエンタープライズ・デプロイメントでのCoherenceクラスタについて

標準的なOracle Fusion Middlewareエンタープライズ・デプロイメントには、記憶域が有効な管理対象Coherenceサーバーを含むCoherenceクラスタが含まれます。Oracle FMW製品は、ドメインの作成または拡張時に、クラスタをメンバーとしてデフォルトのcoherenceクラスタに追加します。

この構成はCoherenceの使用の適切な出発点です。特定の要件によっては、本番環境でのパフォーマンスを向上させるためにCoherenceをチューニングして再構成することを検討してください

注意:

ほとんどのOracle Fusion Middleware製品にはCoherence GARデプロイメントが含まれます。これらのデプロイメントには、デフォルトのCoherenceクラスタ構成に関連する特定の要件(たとえば、ローカル・キャッシュか分散キャッシュか)があるものもあります。Coherenceクラスタ構成の変更に関する特定の制限やプロセスについては、適切な製品のインストールおよび管理ガイドで確認してください。

ポートの割当てを確認する際、Oracle Fusion Middleware製品およびコンポーネントが、構成ウィザードの「Coherenceクラスタ」画面で指定されたポートを使用するウェル・ノウン・アドレス(WKA)リストにデフォルト設定されていることに注意してください。WKAリストでは、coherenceクラスタに参加しているすべてのサーバーのリスニング・アドレスも、WKAリストのリスニング・アドレスとして使用されます。これらの設定は、WLS管理コンソールを使用してカスタマイズできます。

リスニング・アドレスについては、Coherenceクラスタはネットワーク通信に別のサービスとプロトコルを使用します。デフォルトのサービスとそのバインド・ポイントは次のとおりです。

  • 検出サービス: クラスタを含む別のサービスを検出する役割を果たします。ワイルドカード・アドレスにデフォルト設定されています(つまり、すべてのアドレスをリスニングします)。操作構成のcoherence/cluster-config/unicast-listener/discovery-address (通常は未設定)によって構成できます。

  • クラスタリング/TCMP: クラスタ間通信の役割を果たします。WKAリストにルーティング可能なローカル・アドレスにデフォルト設定されています。つまり、エンタープライズ・デプロイメント・トポロジのWCPHOST1WCPHOST2のIPに設定されています。操作構成のcoherence/cluster-config/unicast-listener/address (通常は未設定)によって構成できます。

  • 拡張プロキシ: クラスタ化されていないクライアントとの通信の役割を果たします。検出アドレスにデフォルト設定されています。キャッシュのcache-config/caching-schemes/proxy-scheme/acceptor-config/tcp-acceptor/local-address (通常は未設定)によって構成できます。

詳細は、次のマニュアルを参照してください。

親トピック: 標準的なエンタープライズ・デプロイメント・トポロジ・ダイアグラムについて

データ層について

データ層では、Oracle RACデータベースは2つのホスト(DBHOST1とDBHOST2)上で実行されます。データベースには、Oracle WebCenter PortalコンポーネントとOracle Platform Security Services (OPSS)ポリシー・ストアが必要とするスキーマが含まれています。

エンタープライズ・デプロイメントでは製品およびコンポーネントごとに複数のサービスを定義することで、スループットとパフォーマンスの分離および優先順位の決定ができます。このガイドでは、例として1つのデータベース・サービスを使用します。また、データベースを保護する他の高可用性データベース・ソリューションも使用できます。

これらのソリューションは、エンタープライズ・デプロイメントに一般に適用されるスケーラビリティと可用性の要件を満たす場合、Oracle RACデータベースの使用に重点を置いたこのガイドに記載されている情報以上のデータベース保護を実現します。

高可用性環境でのOracleデータベースの使用の詳細は、『高可用性ガイド』「データベースに関する考慮事項」を参照してください。

親トピック: 標準的なエンタープライズ・デプロイメント・トポロジ・ダイアグラムについて