L 複数のネットワーク・インタフェース・カード
Audit Vault Server (AVS)では、追加のネットワーク・インタフェースを追加したり初期化したりすることによって、ネットワークを分離することができます。
L.1 複数のネットワーク・インタフェース・カードについて
Oracle Audit Vault and Database Firewallを使用すると、追加のネットワーク・インタフェースによって、デフォルトの管理インタフェース以外のネットワーク上で一部のサービスにアクセスできるようになります。
Oracle Audit Vault and Database Firewallは、複数のネットワーク・インタフェース・カードをサポートしています。Audit Vault Serverコンソールは、Database FirewallのセカンダリNICの変更にのみ使用できます。Audit Vault ServerのみのセカンダリNICを変更するには、config-nic
コマンドを使用する必要があります。
ノート:
Oracle AVDFアプライアンスでは、サブネットごとに1つのIPアドレスを含むNIC (ネットワーク・インタフェース・カード)が1つのみサポートされます。これは、セカンダリNICにすることも、トラフィックの監視に使用されるNICにすることもできます。スループットまたは冗長性が高いことが問題になる場合は、ネットワーク・インタフェース・カードの結合を参照してください。Database Firewallのネットワーク・インタフェース・カードを表示および管理するには、Audit Vault Serverコンソールで次のステップを実行します。
- Audit Vault Serverコンソールに管理者としてログインします。
- 「Database Firewall」タブをクリックします。
- 特定のDatabase Firewallインスタンスを選択します。
- メイン・ページの「構成」セクションで、「ネットワーク設定」リンクをクリックします。
- 「ネットワーク設定」ダイアログで、特定のネットワーク・インタフェース・カードをクリックします。
- 変更する必要のある特定のネットワーク・インタフェースを選択します。「ネットワーク・インタフェース設定」ダイアログが表示されます。これを使用して、セカンダリ・ネットワーク・インタフェース・カードを表示および管理できます。
ノート:
Database Firewall診断パッケージをインストールできます。インストール後、Audit Vault Serverに対して実行したコマンドをDatabase Firewallで実行できます。Audit Vault Serverに対してセカンダリ・ネットワーク・インタフェースを有効化および変更できます。supportユーザーとしてAudit Vault Serverにログインし、ユーザーをrootに切り替えて、次のコマンドを実行します。
アクション | コマンド |
---|---|
アプライアンスに構成されているNICの現在のステータスを表示します。 |
|
Audit Vault Server上の1つのネットワーク・インタフェースの設定を表示します。 |
|
セカンダリNICをオンラインにします。NICにIP、マスクおよびゲートウェイ(オプションであり、非推奨)が構成されている必要があります。 |
|
セカンダリ・ネットワーク・インタフェースを無効にします。 |
|
セカンダリ・ネットワーク・インタフェースの設定を削除します。 |
|
関連項目:
L.2 セカンダリ・ネットワーク・インタフェース・カードでのSSHの有効化
Audit Vault ServerおよびDatabase Firewall用のセカンダリ・ネットワーク・インタフェース・カードでSSHを有効にするには、この手順を使用します。
セカンダリ・ネットワーク・インタフェース・カードでSSHを有効化および構成するステップは、次のとおりです。
L.3 Audit Vault Server 20.7以前の場合のセカンダリNICでのエージェント接続の有効化
Audit Vault Serverバージョン20.7以前用のセカンダリ・ネットワーク・インタフェース・カードでエージェント接続を有効化するには、この手順を使用します。
セカンダリNIC (ネットワーク・インタフェース・カード)がオンラインになったら、Audit Vault Agentとターゲット・データベース間の通信を有効にできます。このトピックでは、Oracle AVDFリリース20.7以前のセカンダリ・ネットワーク・インタフェース・カードで、エージェント接続を有効にする方法について説明します。
Audit Vault Serverリリース20.7以前用のセカンダリ・ネットワーク・インタフェース・カードでエージェント接続を有効化にするには:
L.4 Audit Vault Server 20.8以降の場合のセカンダリNICでのエージェント接続の有効化
Audit Vault Serverバージョン20.8以降用のセカンダリ・ネットワーク・インタフェース・カードでエージェント接続を有効化するには、この手順を使用します。
セカンダリNIC (ネットワーク・インタフェース・カード)がオンラインになったら、Audit Vault Agentとターゲット・データベース間の通信を有効にできます。このトピックでは、Oracle AVDFリリース20.8以降のセカンダリ・ネットワーク・インタフェース・カードで、エージェント接続を有効にする方法について説明します。
Audit Vault Serverリリース20.8以降用のセカンダリ・ネットワーク・インタフェース・カードでエージェント接続を有効化にするには:
L.5 Audit Vault ServerのセカンダリNICにおける高可用性接続のためのエージェントの有効化
Audit Vault Serverのセカンダリ・ネットワーク・インタフェース・カードでの高可用性接続のためにAudit Vault Agentを有効にするには、この手順を使用します。
Audit Vault Agentがアプライアンスの高可用性ペアで実行されている場合、セカンダリNICは、スタンバイ・アプライアンス(Audit Vault ServerまたはDatabase Firewall)で有効になっている必要があります。高可用性には、Audit Vault ServerインスタンスのペアまたはDatabase Firewallインスタンスのペアが必要です。両方のアプライアンスのdbfw.conf
ファイルに、追加エントリを作成する必要もあります。
高可用性環境のAudit Vault Serverのセカンダリ・ネットワーク・インタフェース・カードに対してAudit Vault Agent接続を有効にするには:
L.6 ネットワーク・インタフェース・カードの結合
この項では、Database Firewallネットワーク・インタフェース・カードの結合について説明します。
Oracle Audit Vault and Database Firewall 20では、Database Firewallのネットワーク・インタフェース・カードの結合のみがサポートされています。この結合機能は、Database Firewallモニタリング・ポイントによって使用されます。結合により、帯域幅が増大し、アプライアンス上のネットワーク接続の冗長性がサポートされます。
ノート:
Database Firewallコマンドライン・インタフェース(CLI)は、オペレーティング・システムのデフォルト構成で、ボンディング・インタフェースを作成します。特定のボンディング・コントロールを構成するには、オペレーティング・システムを使用します。Oracle Linuxでのネットワーク・ボンドの作成の詳細は、ネットワーク・マネージャCLIを使用したネットワーク・ボンドの作成のドキュメント、またはOracle Linux 8ドキュメント内のネットワーク・ボンドの構成を参照してください。ネットワーク・インタフェース・カード間の結合を確認するには、次のコマンドを実行します。
/opt/avdf/config-utils/bin/config-bond
コマンド出力には、コンポジット・デバイスに関する情報が表示されます。
次のコマンドを実行して、複数のネットワーク・インタフェース・カードを結合し、コンポジット・デバイスにIPアドレスを付与します:
/opt/avdf/config-utils/bin/config-bond add device=bond0 components=enp0s18,enp0s19 ip4addr=192.0.2.10 ip4mask=255.255.255.0 ip4gateway=192.0.2.1 state=true
/opt/avdf/config-utils/bin/config-bond add device=bond0 components=enp0s18,enp0s19
state=true
結合を確立すると、次の確認メッセージが表示されます。
config-bond add ...
結合されたデバイスを削除するには、次のコマンドを実行します。
/opt/avdf/config-utils/bin/config-bond delete device=bond0
次の確認メッセージが表示されます:
config-bond delete ...
ネットワーク・インタフェース間の既存の結合を削除するには、次のコマンドを実行します。
/opt/avdf/config-utils/bin/config-bond delete device=bond0
出力は次のようになります。
Notice: Settings deleted.
:device: bond0
:components:
- enp0s9
- enp0s8
:description:
:ip_address: 192.0.2.20
:network_mask: 255.255.255.0
:gateway: ''
:enabled: true
ノート:
-
ネットワーク・インタフェースの結合のヘルプを検索するには、次のコマンドを実行します。
/opt/avdf/config-utils/bin/config-bond help
-
モニタリング・ポイントがすでに存在しているインタフェースを使用して、2つのネットワーク・インタフェース・カードの結合を作成することはできません。この場合は、既存のモニタリング・ポイントを無効にし、ネットワーク・インタフェース・カード間の結合を作成してから、新たに作成した結合名を使用してモニタリング・ポイントを構成します。
L.7 セカンダリ・ネットワーク・インタフェース・カードでのルーティングの構成
次の表に、Audit Vault ServerおよびDatabase Firewallのセカンダリ・ネットワーク・インタフェース・カードのルーティングを表示および設定するために必要な情報を示します。rootユーザーとして端末にログインし、表に一覧表示されているコマンドを実行します。
タスク | コマンド | 出力 |
---|---|---|
ネットワーク・インタフェース・カード上の既存のルーティング構成を表示します。 |
|
|
ゲートウェイを設定します。 ノート: ゲートウェイは、1つのデバイスにのみ割り当てる必要があります。ただし、ゲートウェイを複数のデバイスに割り当てることができます。これにより、システムが不安定になります。ほとんどの場合、ゲートウェイは、インストール中に構成されているデフォルトの管理インタフェース・デバイスにのみ割り当てる必要があります。 |
|
|
カスタム静的ルートを設定します。 |
たとえば:
|
|
複数のルートを同時に設定します。 ノート: ルートは単一のデバイスに割り当てられますが、ルーティング表はすべてのデバイスに適用されます。 |
たとえば:
|
|
単一の静的ルートを追加します。 |
たとえば:
|
|
単一の静的ルートを削除します。 |
たとえば:
|
|
すべての静的ルートを削除します。 |
|
|
L.8 新規またはセカンダリNICの管理NICへの変更
新規またはセカンダリのネットワーク・インタフェース・カード(NIC)を管理NICに変更できます。
管理NICは通常、アプライアンス(Audit Vault ServerまたはDatabase Firewall)のメインNICです。これはデフォルト・ゲートウェイにアタッチされます。
ノート:
また、NICの変更はアプライアンス(Audit Vault ServerまたはDatabase Firewall)をオフにすることでも実行できます。その後で、eth0
デバイスを同じスロットの新しいデバイスに置き換えます。新しいデバイスは、サーバーの再起動時に新しいデバイスに置き換えられます。