複数のネットワーク・インタフェース・カード

L 複数のネットワーク・インタフェース・カード

Audit Vault Server (AVS)では、追加のネットワーク・インタフェースを追加したり初期化したりすることによって、ネットワークを分離することができます。

L.1 複数のネットワーク・インタフェース・カードについて

Oracle Audit Vault and Database Firewallを使用すると、追加のネットワーク・インタフェースによって、デフォルトの管理インタフェース以外のネットワーク上で一部のサービスにアクセスできるようになります。

Oracle Audit Vault and Database Firewallは、複数のネットワーク・インタフェース・カードをサポートしています。Audit Vault Serverコンソールは、Database FirewallのセカンダリNICの変更にのみ使用できます。Audit Vault ServerのみのセカンダリNICを変更するには、config-nicコマンドを使用する必要があります。

ノート:

Oracle AVDFアプライアンスでは、サブネットごとに1つのIPアドレスを含むNIC (ネットワーク・インタフェース・カード)が1つのみサポートされます。これは、セカンダリNICにすることも、トラフィックの監視に使用されるNICにすることもできます。スループットまたは冗長性が高いことが問題になる場合は、ネットワーク・インタフェース・カードの結合を参照してください。

Database Firewallのネットワーク・インタフェース・カードを表示および管理するには、Audit Vault Serverコンソールで次のステップを実行します。

Audit Vault Serverコンソールに管理者としてログインします。
「Database Firewall」タブをクリックします。
特定のDatabase Firewallインスタンスを選択します。
メイン・ページの「構成」セクションで、「ネットワーク設定」リンクをクリックします。
「ネットワーク設定」ダイアログで、特定のネットワーク・インタフェース・カードをクリックします。
変更する必要のある特定のネットワーク・インタフェースを選択します。「ネットワーク・インタフェース設定」ダイアログが表示されます。これを使用して、セカンダリ・ネットワーク・インタフェース・カードを表示および管理できます。

ノート:

Database Firewall診断パッケージをインストールできます。インストール後、Audit Vault Serverに対して実行したコマンドをDatabase Firewallで実行できます。

Audit Vault Serverに対してセカンダリ・ネットワーク・インタフェースを有効化および変更できます。supportユーザーとしてAudit Vault Serverにログインし、ユーザーをrootに切り替えて、次のコマンドを実行します。

アクション	コマンド
アプライアンスに構成されているNICの現在のステータスを表示します。	`/opt/avdf/config-utils/bin/config-nic show`
Audit Vault Server上の1つのネットワーク・インタフェースの設定を表示します。	`/opt/avdf/config-utils/bin/config-nic show device=enp0s8`
セカンダリNICをオンラインにします。NICにIP、マスクおよびゲートウェイ(オプションであり、非推奨)が構成されている必要があります。	`/opt/avdf/config-utils/bin/config-nic set device=enp0s8 ip_address=192.0.2.9 network_mask=255.255.255.0 enabled=true`
セカンダリ・ネットワーク・インタフェースを無効にします。	`/opt/avdf/config-utils/bin/config-nic set device=enp0s8 enabled=false`
セカンダリ・ネットワーク・インタフェースの設定を削除します。	`/opt/avdf/config-utils/bin/config-nic delete device=enp0s8`

L.2 セカンダリ・ネットワーク・インタフェース・カードでのSSHの有効化

Audit Vault ServerおよびDatabase Firewall用のセカンダリ・ネットワーク・インタフェース・カードでSSHを有効にするには、この手順を使用します。

セカンダリ・ネットワーク・インタフェース・カードでSSHを有効化および構成するステップは、次のとおりです。

config-nicコマンドを実行して、NICをオンラインにします。
NICにIP、マスクおよびゲートウェイ(オプション)が構成されている必要があります。次のコマンドを実行します。
dbfw.confファイルには、セカンダリ・ネットワーク・インタフェース・カードの設定が含まれています。SSHを有効にするには、次のように設定を変更します。
```
NET_SERVICE_MAP="{"enp0s8":{"ip4":{"address":"192.0.2.9/24","gateway":"","enabled":true},"ssh":{"port":"22","access_list":["192.0.2.1"]}}}"
```
access_listフィールドは、次の属性とともに使用できます。
- "all": IP表では、任意のIPアドレスのSSH経由の接続を許可します。
- "disabled": IP表では、このNIC上におけるSSHのすべての着信接続を拒否します。
- カンマとスペースで区切られたIPアドレスの配列。これらのIPアドレスは、NICのSSHポートへのアクセスを許可されます。たとえば: ["192.0.2.11","192.0.2.12"]
アプライアンスの有効なポート番号が「ポート」フィールドに示されていることを確認します。

L.3 Audit Vault Server 20.7以前の場合のセカンダリNICでのエージェント接続の有効化

Audit Vault Serverバージョン20.7以前用のセカンダリ・ネットワーク・インタフェース・カードでエージェント接続を有効化するには、この手順を使用します。

セカンダリNIC (ネットワーク・インタフェース・カード)がオンラインになったら、Audit Vault Agentとターゲット・データベース間の通信を有効にできます。このトピックでは、Oracle AVDFリリース20.7以前のセカンダリ・ネットワーク・インタフェース・カードで、エージェント接続を有効にする方法について説明します。

Audit Vault Serverリリース20.7以前用のセカンダリ・ネットワーク・インタフェース・カードでエージェント接続を有効化にするには:

config-nicコマンドを実行して、NICをオンラインにします。
dbfw.confファイルには、セカンダリ・ネットワーク・インタフェース・カードの設定が含まれています。Audit Vault Agentへのアクセスを有効にするには、次のように設定を変更します。
```
NET_SERVICE_MAP="{"enp0s8":{"ip4":{"address":"192.0.2.9/24","gateway":"","enabled":true},"agent":{"port":"1521","tls_port":"1522","access_list":["192.0.2.1"]}}}"
```
access_listフィールドは、次の属性とともに使用できます。
- "all": IP表では、Audit Vault Agentへの接続に任意のIPアドレスを使用することを許可します。
- "disabled": IP表では、このNIC上におけるAudit Vault Agentのすべての着信接続を拒否します。
- カンマとスペースで区切られたIPアドレスの配列。これらのIPアドレスは、NICのエージェント・ポートへのアクセスを許可されます。たとえば、["192.0.2.11","192.0.2.12"]
アプライアンスの有効なポート番号が「ポート」フィールドに示されていることを確認します。
次のコマンドを実行して、エージェントを適用し、ネットワーク構成の変更を有効にします。
```
/usr/local/dbfw/bin/priv/configure-networking
```
ノート:
このコマンドを実行しない場合、変更は適用されず、Audit Vault AgentはセカンダリNICで機能しません。
関連項目:

Audit Vault Agentのデプロイ

L.4 Audit Vault Server 20.8以降の場合のセカンダリNICでのエージェント接続の有効化

Audit Vault Serverバージョン20.8以降用のセカンダリ・ネットワーク・インタフェース・カードでエージェント接続を有効化するには、この手順を使用します。

セカンダリNIC (ネットワーク・インタフェース・カード)がオンラインになったら、Audit Vault Agentとターゲット・データベース間の通信を有効にできます。このトピックでは、Oracle AVDFリリース20.8以降のセカンダリ・ネットワーク・インタフェース・カードで、エージェント接続を有効にする方法について説明します。

Audit Vault Serverリリース20.8以降用のセカンダリ・ネットワーク・インタフェース・カードでエージェント接続を有効化にするには:

次のコマンドを使用して、Audit Vault Agentに必要な特定のNICをアクティブ化します。
```
config-nic
```
次のコマンド例を実行して、ローカル・ネットワークでデバイス enp0s9を有効にします。
```
/opt/avdf/config-utils/bin/config-nic set device=enp0s9 ip_address=192.0.2.24 network_mask=255.255.255.0 enabled=true
```
ノート:
システム構成ですでに割り当てられているゲートウェイは、セカンダリNICに追加しないでください。
次のコマンドを使用して、Audit Vault Agentの構成を追加します。
```
config-agent
```
次のコマンド例を実行し、エージェント・ホスト・マシンからデバイスenp0s9を使用して、特定のポートでAudit Vault Agent接続を有効にします。
```
/opt/avdf/config-utils/bin/config-agent set device=enp0s9 port=12345 tls_port=12346 access_list=all
```
ノート:
要件に従って、高可用性のためにAudit Vault Agentを有効にします。詳細は、「Audit Vault ServerのセカンダリNICにおける高可用性接続のためのエージェントの有効化」を参照してください。

L.5 Audit Vault ServerのセカンダリNICにおける高可用性接続のためのエージェントの有効化

Audit Vault Serverのセカンダリ・ネットワーク・インタフェース・カードでの高可用性接続のためにAudit Vault Agentを有効にするには、この手順を使用します。

前提条件: この手順は、高可用性のためにアプライアンス(Audit Vault ServerまたはDatabase Firewall)をペアにする前に実行する必要があります。

Audit Vault Agentがアプライアンスの高可用性ペアで実行されている場合、セカンダリNICは、スタンバイ・アプライアンス(Audit Vault ServerまたはDatabase Firewall)で有効になっている必要があります。高可用性には、Audit Vault ServerインスタンスのペアまたはDatabase Firewallインスタンスのペアが必要です。両方のアプライアンスのdbfw.confファイルに、追加エントリを作成する必要もあります。

高可用性環境のAudit Vault Serverのセカンダリ・ネットワーク・インタフェース・カードに対してAudit Vault Agent接続を有効にするには:

高可用性接続に対してAudit Vault Agentを有効にします。dbfw.confファイルを開き、下にスクロールすると、次のような自動生成されたエントリが表示されます。
```
SECONDARY_NIC_1_DEVICE         = enp0s8 
SECONDARY_NIC_1_ADDRESS        = enp0s8:ip4:address:192.168.90.9 
SECONDARY_NIC_1_AGENT_PORT     = enp0s8:agent:port:1521 
SECONDARY_NIC_1_AGENT_PORT_TLS = enp0s8:agent:port:1522
```
ノート:
これらのエントリが生成されず、欠落している場合は、それらを生成する方法に関する前のトピックを参照してください。
エージェント接続用に構成されたセカンダリNICの数によっては、SECONDARY_NIC_[N]_値のブロックが複数存在する場合があります。適切なIPアドレスを含むブロックを選択し、次のフィールドを追加します。
```
SECONDARY_NIC_1_ADDRESS_HA=”<IP address>”
```
プライマリ・インスタンスでは、この値はスタンバイ・インスタンスのNICのIPアドレスになります。また、スタンバイ・インスタンスでは、これはプライマリ・インスタンスのNICのIPアドレスになります。
Audit Vault Agentの高可用性構成を適用します。次のコマンドを実行して、両方のアプライアンスで構成を適用します。
```
/usr/local/dbfw/bin/priv/configure-networking
```

L.6 ネットワーク・インタフェース・カードの結合

この項では、Database Firewallネットワーク・インタフェース・カードの結合について説明します。

Oracle Audit Vault and Database Firewall 20では、Database Firewallのネットワーク・インタフェース・カードの結合のみがサポートされています。この結合機能は、Database Firewallモニタリング・ポイントによって使用されます。結合により、帯域幅が増大し、アプライアンス上のネットワーク接続の冗長性がサポートされます。

ノート:

Database Firewallコマンドライン・インタフェース(CLI)は、オペレーティング・システムのデフォルト構成で、ボンディング・インタフェースを作成します。特定のボンディング・コントロールを構成するには、オペレーティング・システムを使用します。Oracle Linuxでのネットワーク・ボンドの作成の詳細は、ネットワーク・マネージャCLIを使用したネットワーク・ボンドの作成のドキュメント、またはOracle Linux 8ドキュメント内のネットワーク・ボンドの構成を参照してください。

ネットワーク・インタフェース・カード間の結合を確認するには、次のコマンドを実行します。

/opt/avdf/config-utils/bin/config-bond

コマンド出力には、コンポジット・デバイスに関する情報が表示されます。

次のコマンドを実行して、複数のネットワーク・インタフェース・カードを結合し、コンポジット・デバイスにIPアドレスを付与します:

/opt/avdf/config-utils/bin/config-bond add device=bond0 components=enp0s18,enp0s19 ip4addr=192.0.2.10 ip4mask=255.255.255.0 ip4gateway=192.0.2.1 state=true

次のコマンドを実行して、IPアドレスなしで(帯域外モードで使用するために)複数のネットワーク・インタフェース・カードを結合します:

/opt/avdf/config-utils/bin/config-bond add device=bond0 components=enp0s18,enp0s19
      state=true

結合を確立すると、次の確認メッセージが表示されます。

config-bond add ...

結合されたデバイスを削除するには、次のコマンドを実行します。

/opt/avdf/config-utils/bin/config-bond delete device=bond0

次の確認メッセージが表示されます:

config-bond delete ...

ネットワーク・インタフェース間の既存の結合を削除するには、次のコマンドを実行します。

/opt/avdf/config-utils/bin/config-bond delete device=bond0

出力は次のようになります。


Notice: Settings deleted.
:device: bond0
:components:
- enp0s9
- enp0s8
:description:
:ip_address: 192.0.2.20
:network_mask: 255.255.255.0
:gateway: ''
:enabled: true

ノート:

ネットワーク・インタフェースの結合のヘルプを検索するには、次のコマンドを実行します。
```
/opt/avdf/config-utils/bin/config-bond help
```
モニタリング・ポイントがすでに存在しているインタフェースを使用して、2つのネットワーク・インタフェース・カードの結合を作成することはできません。この場合は、既存のモニタリング・ポイントを無効にし、ネットワーク・インタフェース・カード間の結合を作成してから、新たに作成した結合名を使用してモニタリング・ポイントを構成します。

L.7 セカンダリ・ネットワーク・インタフェース・カードでのルーティングの構成

Oracle AVDFのセカンダリ・ネットワーク・インタフェース・カードでルーティングを構成する方法を学習します。

次の表に、Audit Vault ServerおよびDatabase Firewallのセカンダリ・ネットワーク・インタフェース・カードのルーティングを表示および設定するために必要な情報を示します。rootユーザーとして端末にログインし、表に一覧表示されているコマンドを実行します。

タスク	コマンド	出力
ネットワーク・インタフェース・カード上の既存のルーティング構成を表示します。	`/opt/avdf/config-utils/bin/config-route`	`device: enp0s3` `gateway: " "` `routes: []`
ゲートウェイを設定します。ノート: ゲートウェイは、1つのデバイスにのみ割り当てる必要があります。ただし、ゲートウェイを複数のデバイスに割り当てることができます。これにより、システムが不安定になります。ほとんどの場合、ゲートウェイは、インストール中に構成されているデフォルトの管理インタフェース・デバイスにのみ割り当てる必要があります。	`/opt/avdf/config-utils/bin/config-route set device=enp0s3 gateway=<gateway address>`	`Notice: Success. Settings saved.`
カスタム静的ルートを設定します。	`/opt/avdf/config-utils/bin/config-route set device=enp0s3 routes='<IP address of the network interface card followed by the gateway address separated by space>'` たとえば: `/opt/avdf/config-utils/bin/config-route set device=enp0s3 routes='192.0.2.1 192.0.2.4'`	`Notice: Success. Settings saved.`
複数のルートを同時に設定します。ノート: ルートは単一のデバイスに割り当てられますが、ルーティング表はすべてのデバイスに適用されます。	`/opt/avdf/config-utils/bin/config-route set device=enp0s3 routes='<IP address of the network interface card and gateway address separated by comma and space>'` たとえば: `/opt/avdf/config-utils/bin/config-route set device=enp0s3 routes='192.0.2.1 192.0.2.4, 192.0.2.11 192.0.2.5, 192.0.2.21 192.0.2.6,'`	`- :device: enp0s3` `:gateway: " "` `:routes:` `- 192.0.2.1 192.0.2.4` `- 192.0.2.11 192.0.2.5` `- 192.0.2.21 192.0.2.6`
単一の静的ルートを追加します。	`/opt/avdf/config-utils/bin/config-route add device=enp0s3 routes='<IP address of the network interface card followed by the gateway address separated by space>'` たとえば: `/opt/avdf/config-utils/bin/config-route add device=enp0s3 routes='192.0.2.1 192.0.2.4'`	`Notice: Success. Settings saved.` `---` `:device: enp0s3` `:gateway: " "` `:routes:` `- 192.0.2.1 192.0.2.4` `- 192.0.2.11 192.0.2.5` `- 192.0.2.21 192.0.2.6` `- 192.0.2.22 192.0.2.16`
単一の静的ルートを削除します。	`/opt/avdf/config-utils/bin/config-route delete device=enp0s3 routes='<IP address of the network interface card followed by the gateway address separated by space>'` たとえば: `/opt/avdf/config-utils/bin/config-route delete device=enp0s3 routes=192.0.2.1 192.0.2.4`	`Notice: Settings deleted.` `---` `:device: enp0s3` `:gateway: ''` `:routes:` `- 192.0.2.1 192.0.2.4`
すべての静的ルートを削除します。	`/opt/avdf/config-utils/bin/config-route set device=enp0s3 routes=""`	`Notice: Success. Settings saved.`

L.8 新規またはセカンダリNICの管理NICへの変更

新規またはセカンダリのネットワーク・インタフェース・カード(NIC)を管理NICに変更できます。

管理NICは通常、アプライアンス(Audit Vault ServerまたはDatabase Firewall)のメインNICです。これはデフォルト・ゲートウェイにアタッチされます。

Audit Vault ServerまたはDatabase Firewallに、管理者としてログインします。
新規またはセカンダリのNICが接続されていることを確認します。
新規またはセカンダリのNICでSSHを有効にします。
/usr/local/dbfw/etcフォルダに移動して、NIC設定が含まれているdbfw.confファイルを開きます。
dbfw.confファイルで、DEFAULT_DEVICEの値を編集します。

デフォルトでは、DEFAULT_DEVICEはeth0に設定されています。この値を変更して、新規またはセカンダリのNICの名前を指定します。
次のコマンドを実行して、構成スクリプトを完了します。
```
/usr/local/dbfw/bin/priv/configure-networking
```

ノート:

また、NICの変更はアプライアンス(Audit Vault ServerまたはDatabase Firewall)をオフにすることでも実行できます。その後で、eth0デバイスを同じスロットの新しいデバイスに置き換えます。新しいデバイスは、サーバーの再起動時に新しいデバイスに置き換えられます。