エンタープライズ・デプロイメントのロード・バランサとファイアウォールの準備

6 エンタープライズ・デプロイメントのロード・バランサとファイアウォールの準備

エンタープライズ・デプロイメントのファイアウォールで開いておく必要のあるハードウェア・ロード・バランサおよびポートを構成する方法を理解することが重要です。

ハードウェア・ロード・バランサでの仮想ホストの構成

ハードウェア・ロード・バランサの構成によって、リクエストを認識し、様々な種類のネットワーク・トラフィックや監視に対応する複数の仮想サーバーと関連ポートにルーティングできるようにします。

次の各項では、ハードウェア・ロード・バランサの構成方法について説明し、必要な仮想サーバーのサマリーとこれらの仮想サーバーに関する追加手順を示します。

ハードウェア・ロード・バランサ構成の概要

トポロジのダイアグラムに示すように、リクエストを認識し、様々な種類のネットワーク・トラフィックや監視に対応する複数の仮想サーバーと関連ポートにリクエストをルーティングできるように、ハードウェア・ロード・バランサを構成する必要があります。

ロード・バランシング・デバイスにおける仮想サーバーとは、ロード・バランシングのために複数の物理サーバーを1つのサーバーのように見せかけることができる構成です。仮想サーバーは通常、IPアドレスとサービスによって表され、受信したクライアント・リクエストをサーバー・プール内の各サーバーに配信するために使用されます。

仮想サーバーは、(エンタープライズ・デプロイメントで使用可能な各種サービス用の)適切なホスト・コンピュータおよびポートにトラフィックをルーティングするように構成しておく必要があります。

さらに、サービスが停止したときに特定のサーバーへのトラフィックをできるだけ早く停止できるように、ホスト・コンピュータとポートの可用性を監視するようにロード・バランサを構成する必要があります。これによって、特定の仮想ホストの着信トラフィックが他の層の使用不可のサービスに送信されることがなくなります。同時に、この監視では、過度に頻繁なヘルス・リクエストでバックエンド・システムに負荷をかけないようにする必要があります。最終的には、停止検出の発生速度と監視対象システムに対するオーバーヘッドのトレードオフを調整する必要があります

ロード・バランサを構成した後で、同じ名前を持つ一連の仮想ホストを、ロード・バランサに定義した仮想サーバーとして認識するように、Web層のWebサーバー・インスタンスを構成することも可能です。Webサーバーは、ハードウェア・ロード・バランサから受信した各リクエストを、リクエストのヘッダーに記述されているサーバー名に基づいて適切にルーティングできます。「管理およびOracle Web Services Manager用のOracle HTTP Serverの構成」を参照してください。

ハードウェア・ロード・バランサの構成の一般的な手順

次に、エンタープライズ・デプロイメントのハードウェア・ロード・バランサを構成するための標準的なステップを説明します。

実際に特定のロード・バランサを構成する手順は、ロード・バランサのタイプによって異なることに注意してください。ロード・バランシングを行っているプロトコルのタイプによっては、いくつかの違いがある場合もあります。たとえば、TCP仮想サーバーとHTTP仮想サーバーはそれぞれのプールに異なるタイプの監視を使用します。実際のステップは、ベンダーが提供するドキュメントを参照してください。

サーバーのプールを作成します。このプールには、ロード・バランシングの定義に含まれているサーバーとポートのリストが格納されます。

Webホスト間のロード・バランシングの場合、ホストWEBHOST1およびWEBHOST2に対するリクエストを、OHSで使用される各ポートに送信するサーバーのプールを作成します。たとえば、WebCenter ContentなどのアプリケーションにアクセスするためのWEBHOST1およびWEBHOST2のポート4443に対するプール、内部アクセスのためのWEBHOST1およびWEBHOST2のポート4444に対する別のプール、管理コンソールにアクセスするためのWEBHOST1およびWEBHOST2のポート4445に対する別のプールです。
特定のホストとサービスが使用可能かどうかを決定するルールを作成し、ステップ1で説明したサーバーのプールに割り当てます。
アプリケーションのリクエストを受信するアドレスとポートのために、ロード・バランサ上に必須仮想サーバーを作成します。

エンタープライズ・デプロイメントで必要な仮想サーバーの一覧は、「エンタープライズ・デプロイメントに必要な仮想サーバーのサマリー」を参照してください。

ロード・バランサで各仮想サーバーを定義するときは、次のことを考慮します。
1. ロード・バランサがこれをサポートする場合は、その仮想サーバーが内部、外部またはその両方で使用可能かどうかを指定します。内部アドレスはネットワーク内からのみ解決可能であることを確認します。
2. ステップ1で作成したサーバーのプールを仮想サーバーに割り当てます。
3. 仮想サーバーに対するSSLを構成します。
4. サーバーのプールとの通信用にSSLを構成します。

一部のロード・バランサには、適切なSSL通信を確立するために、状況によってはバックエンドの証明書(バックエンド・プールのOHSリスナーによって使用されるSSL証明書)を提供する必要があります。その場合、信頼できる証明書としてロード・バランサにOHSのCA証明書を追加する必要がある場合があります。このガイドでは、WebLogicのドメインごとのCAに基づくサンプル証明書を使用するため、ドメインの作成後にこれを追加できます。

エンタープライズ・デプロイメントに必要な仮想サーバーのサマリー

この項では、エンタープライズ・デプロイメントに必要な仮想サーバーについて詳しく説明します。

次の表は、Oracle WebCenter Contentエンタープライズ・トポロジのハードウェア・ロード・バランサで定義する必要がある仮想サーバーの一覧です。

仮想ホストサーバー・プールプロトコル SSL終端

仮想ホスト	サーバー・プール	プロトコル	SSL終端
`admin.example.com:445`	`WEBHOST1.example.com:4445` `WEBHOST2.example.com:4445`	HTTPS	いいえ
`wcc.example.com:443`	`WEBHOST1.example.com:4443` `WEBHOST2.example.com:4443`	HTTPS	いいえ
`wccinternal.example.com:444`	`WEBHOST1.example.com:4444` `WEBHOST2.example.com:4444`	HTTPS	いいえ

admin.example.com:445

WEBHOST1.example.com:4445

WEBHOST2.example.com:4445

HTTPS

いいえ

wcc.example.com:443

WEBHOST1.example.com:4443

WEBHOST2.example.com:4443

HTTPS

いいえ

wccinternal.example.com:444

WEBHOST1.example.com:4444

WEBHOST2.example.com:4444

HTTPS

いいえ

admin.example.comに関する追加手順

この項では、仮想サーバーadmin.example.comに必要な追加手順を示します。

ハードウェア・ロード・バランサでこの仮想サーバーを構成する場合:

アドレスとポートの変換を有効にします。
サービスまたはホストが停止した場合に接続のリセットを有効にします。

wcc.example.comに関する追加手順

アドレスwcc.example.comは、ランタイムOracle WebCenter ContentコンポーネントへのすべてのHTTPトラフィックのアクセス・ポイントとして機能する仮想サーバー名です。SSLへのトラフィックが構成されます。クライアントは、HTTP用のアドレスwcc.example.com:443を使用してこのサービスにアクセスします。ハードウェア・ロード・バランサでこの仮想サーバーを構成する場合:

ポート443を使用します。顧客の使いやすさのためにポート80を使用する場合は、それに対するリクエスト(非SSLプロトコル)をポート443 (SSLプロトコル)にリダイレクトすることをお薦めします。このリダイレクトを実装するには、ロード・バランサに固有のドキュメントを参照してください。
ANYをプロトコルとして指定します(B2BではHTTPでないプロトコルが必要)。
アドレスとポートの変換を有効にします。
サービスやノードが停止した場合に接続のリセットを有効にします。
この仮想サーバーの/managementと/emへのアクセスを除外するルールを作成します。

これらのコンテキスト文字列は、リクエストをOracle WebLogic Serverリモート・コンソールとOracle Enterprise Manager Fusion Middleware Controlにルーティングするため、admin.example.comからシステムへのアクセス時にのみ使用する必要があります。

wccinternal.example.comに関する追加手順

アドレスwccinternal.example.comは、WebCenter ContentおよびSOAサービスの内部起動に使用される仮想サーバー名です。このURLはインターネットに公開されずに、イントラネットからのみアクセスできます。クライアントからの入力トラフィックは、SSL対応ではありません。

ハードウェア・ロード・バランサでこの仮想サーバーを構成する場合:

アドレスとポートの変換を有効にします。
サービスまたはノードが停止した場合に接続のリセットを有効にします。
wcc.example.comと同様に、この仮想サーバーの/managementと/emへのアクセスを除外するルールを作成します。

エンタープライズ・デプロイメントのファイアウォールとポートの構成

管理者として、Oracle Fusion Middlewareの様々な製品とサービスで使用されるポート番号を把握しておくことが重要です。こうして、1つのホストで2つのサービスが同じポート番号を使用しないようにし、エンタープライズ・トポロジのファイアウォールで適切なポートを開くようにします。

次の表に、トポロジ内のファイアウォールで開く必要のあるポートをリストします。

ファイアウォール表記法:

FW0は、最も外側のファイアウォールを表します。
FW1は、Web層とアプリケーション層の間のファイアウォールを表します。
FW2は、アプリケーション層とデータ層との間におけるファイアウォールを示します。

表6-1 すべてのFusion Middlewareエンタープライズ・デプロイメントに共通のファイアウォール・ポート

タイプ	ファイアウォール	ポートとポートの範囲	プロトコル/アプリケーション	インバウンド/アウトバウンド	その他の考慮事項とタイムアウトのガイドライン
ブラウザによるリクエスト	FW0	80 ノート: このオプションは、ポート80からポート443へのリダイレクトが使用される場合にのみ必要です。	HTTP/ロード・バランサ	インバウンド	タイムアウトはHTMLコンテンツのサイズとタイプによって異なります。
ブラウザによるリクエスト	FW0	443	HTTPS/ロード・バランサ	インバウンド	タイムアウトはHTMLコンテンツのサイズとタイプによって異なります。
ブラウザによるリクエスト	FW1	80 ノート: このオプションは、ポート80からポート443へのリダイレクトが使用される場合にのみ必要です。	HTTPS/ロード・バランサ	アウトバウンド(イントラネット・クライアント)	タイムアウトはHTMLコンテンツのサイズとタイプによって異なります。
ブラウザによるリクエスト	FW1	443	HTTPS/ロード・バランサ	アウトバウンド(イントラネット・クライアント)	タイムアウトはHTMLコンテンツのサイズとタイプによって異なります。
コールバックおよびアウトバウンド呼出し	FW1	80	HTTPS/ロード・バランサ	アウトバウンド	タイムアウトはHTMLコンテンツのサイズとタイプによって異なります。
コールバックおよびアウトバウンド呼出し	FW1	443	HTTPS/ロード・バランサ	アウトバウンド	タイムアウトはHTMLコンテンツのサイズとタイプによって異なります。
ロード・バランサからOracle HTTP Serverへ	該当なし	444x	HTTPS	該当なし	該当なし
WebLogic Serverクラスタ内におけるセッション・レプリケーション	該当なし	該当なし	該当なし	該当なし	デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。
データベースへのアクセス	FW2	1521	SQL*Net	両方	タイムアウトは、WebCenterコンテンツに使用されるプロセス・モデルのタイプとデータベース・コンテンツによって異なります。
デプロイメント用Coherence	該当なし	9991 Coherenceでは、メンバー間に次の接続が必要です: マルチキャストとユニキャストの両方の構成について、UDPとTCPの両方に対するポート9991。 TCPのポート7。 UDPとTCPの両方に対するエフェメラル・ポート32768-60999。		該当なし	該当なし
Oracle Unified Directoryへのアクセス	FW2	389 636 (SSL)	LDAPまたはLDAP/ssl	インバウンド	ロード・バランサに基づいてディレクトリ・サーバーのパラメータをチューニングする必要があります。それ以外の方法ではチューニングしないでください。
Oracle Notification Server (ONS)	FW2	6200	ONS	両方	Gridlinkに必要。ONSサーバーは各データベース・サーバー上で稼働します。

表6-2 Oracle Fusion Middlewareエンタープライズ・デプロイメントの製品固有コンポーネントのファイアウォール・ポート

タイプ	ファイアウォール	ポートとポートの範囲	プロトコル/アプリケーション	インバウンド/アウトバウンド	その他の考慮事項とタイムアウトのガイドライン
Oracle SOA SuiteおよびWSMサーバーへのアクセス	FW1	8001 範囲: 8000 - 8080	HTTPS/WLS_SOAn	インバウンド	タイムアウトは、SOAによって使用されるプロセス・モデルのタイプによって異なります。
Oracle WebCenter Contentへのアクセス	FW1	16201	HTTPS / WLS_WCCn	インバウンド	ブラウザ・ベースでアクセスします。セッション・タイムアウトを構成します。
Oracle WebCenter Enterprise Captureへのアクセス	FW1	16401	HTTPS / WLS_CPTn	インバウンド	ブラウザ・ベースでアクセスします。セッション・タイムアウトを構成します。
SOA_Clusterメンバー間の通信	該当なし	8001	TCP/IPユニキャスト	該当なし	デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。
WCC_Clusterメンバー間の通信	該当なし	16201	TCP/IPユニキャスト	該当なし	デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。
CPT_Clusterメンバー間の通信	該当なし	16401	TCP/IPユニキャスト	該当なし	デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。