1. Oracle SOA Suiteエンタープライズ・デプロイメント・ガイド
  2. エンタープライズ・デプロイメントの準備
  3. エンタープライズ・デプロイメントのロード・バランサとファイアウォールの準備

6 エンタープライズ・デプロイメントのロード・バランサとファイアウォールの準備

ハードウェア・ロード・バランサと、エンタープライズ・デプロイメントのファイアウォールで開いておく必要のあるポートを構成する方法を理解することが重要です。

親トピック: エンタープライズ・デプロイメントの準備

ハードウェア・ロード・バランサでの仮想ホストの構成

ハードウェア・ロード・バランサ構成を利用すると、リクエストを認識し、様々な種類のネットワーク・トラフィックや監視に対応する複数の仮想サーバーと関連ポートにリクエストをルーティングすることができます。

次の各項で、ハードウェア・ロード・バランサの構成方法について説明し、必要な仮想サーバーのサマリーとこれらの仮想サーバーに関する追加指示を示します。

親トピック: エンタープライズ・デプロイメントのロード・バランサとファイアウォールの準備

ハードウェア・ロード・バランサ構成の概要

トポロジのダイアグラムに示すように、リクエストを認識し、様々な種類のネットワーク・トラフィックや監視に対応する複数の仮想サーバーと関連ポートにリクエストをルーティングできるように、ハードウェア・ロード・バランサを構成する必要があります。

ロード・バランシング・デバイスにおける仮想サーバーとは、ロード・バランシングのために複数の物理サーバーを1つのサーバーのように見せかけることができる構成です。仮想サーバーは通常、IPアドレスとサービスによって表され、受信したクライアント・リクエストをサーバー・プール内の各サーバーに配信するために使用されます。

仮想サーバーは、エンタープライズ・デプロイメントで使用可能な各種サービス用の適切なホスト・コンピュータおよびポートにトラフィックをルーティングするように構成しておく必要があります。

さらに、サービスが停止したときに特定のサーバーへのトラフィックをできるだけ早く停止できるように、ホスト・コンピュータとポートの可用性を監視するようにロード・バランサを構成する必要があります。これによって、特定の仮想ホストの着信トラフィックが他の層の使用不可のサービスに送信されることがなくなります。同時に、この監視では、過度に頻繁なヘルス・リクエストでバックエンド・システムに負荷をかけないようにする必要があります。最終的には、停止検出の発生速度と監視対象システムに対するオーバーヘッドのトレードオフを調整する必要があります

ロード・バランサを構成した後で、同じ名前を持つ一連の仮想ホストを、ロード・バランサに定義した仮想サーバーとして認識するように、Web層のWebサーバー・インスタンスを構成することも可能です。Webサーバーは、ハードウェア・ロード・バランサから受信した各リクエストを、リクエストのヘッダーに記述されているサーバー名に基づいて適切にルーティングできます。「管理およびOracle Web Services Manager用のOracle HTTP Serverの構成」を参照してください。

親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成

ハードウェア・ロード・バランサの構成の一般的な手順

次の手順では、エンタープライズ・デプロイメントのハードウェア・ロード・バランサを構成する一般的なステップを示します。

特定のロード・バランサを構成する実際の手順は、ロード・バランサのタイプによって異なります。ロード・バランシングされるプロトコルのタイプによっては、複数の相違点が存在することもあります。たとえば、TCP仮想サーバーおよびHTTP仮想サーバーでは、そのプールに対して異なるタイプの監視を使用します。実際のステップについては、ベンダーが提供するマニュアルを参照してください。

  1. サーバーのプールを作成します。このプールには、ロード・バランシングの定義に含まれているサーバーとポートのリストが格納されます。

    Webホスト間のロード・バランシングの場合、ホストWEBHOST1およびWEBHOST2に対するリクエストを、OHSで使用される各ポートに送信するサーバーのプールを作成します。たとえば、SOAやOSBなどのアプリケーションにアクセスするためのWEBHOST1およびWEBHOST2のポート4443に対するプール、内部アクセスのためのWEBHOST1およびWEBHOST2のポート4444に対する別のプール、管理コンソールにアクセスするためのWEBHOST1およびWEBHOST2のポート4445に対する別のプールです。

  2. 特定のホストとサービスが使用可能かどうかを決定するルールを作成し、ステップ1で説明したサーバーのプールに割り当てます。

  3. ロード・バランサ上に、アプリケーションのリクエストを受信するアドレスおよびポート用の必須仮想サーバーを作成します。

    エンタープライズ・デプロイメントに必要な仮想サーバーの完全なリストは、「エンタープライズ・デプロイメントに必要な仮想サーバーのサマリー」を参照してください。

    ロード・バランサで各仮想サーバーを定義するときは、次のことを考慮します。

    1. ロード・バランサがこれをサポートする場合は、その仮想サーバーが内部、外部またはその両方で使用可能かどうかを指定します。内部アドレスはネットワーク内からのみ解決可能であることを確認します。

    2. ステップ1で作成したサーバーのプールを、仮想サーバーに割り当てます。

    3. 仮想サーバーに対するSSLを構成します。

    4. サーバーのプールとの通信用にSSLを構成します。

      一部のロード・バランサには、適切なSSL通信を確立するために、状況によってはバックエンドの証明書(バックエンド・プールのOHSリスナーによって使用されるSSL証明書)を提供する必要があります。その場合、信頼できる証明書としてロード・バランサにOHSのCA証明書を追加する必要がある場合があります。このガイドでは、WebLogicのドメインごとのCAに基づくサンプル証明書を使用するため、ドメインの作成後にこれを追加できます。

親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成

エンタープライズ・デプロイメントに必要な仮想サーバーのサマリー

このトピックでは、エンタープライズ・デプロイメントに必要な仮想サーバーについて詳細に説明します。

次の表は、Oracle SOA Suiteエンタープライズ・トポロジのハードウェア・ロード・バランサで定義する必要がある仮想サーバーの一覧です。

表6-1 仮想サーバーのリスト

仮想ホスト サーバー・プール プロトコル 外部
admin.example.com:445

WEBHOST1.example.com:4445

WEBHOST2.example.com:4445

HTTPS

いいえ
soa.example.com:443

WEBHOST1.example.com:4443

WEBHOST2.example.com:4443

HTTPS

はい
soainternal.example.com:444

WEBHOST1.example.com:4444

WEBHOST2.example.com:4444

HTTPS

いいえ
osb.example.com:443

WEBHOST1.example.com:4446

WEBHOST2.example.com:4446

HTTPS

はい
mft.example.com:7022

SOAHOST1.example.com:7022

SOAHOST2.example.com:7022

TCP (SFTP)

はい
mft.example.com:443

WEBHOST1.example.com:4443

WEBHOST2.example.com:4443

HTTPS

はい

ノート:

SOA SuiteとOracle Managed File Transferが同じホストにデプロイされている場合、Managed File Transferは、SOAによって使用されるHTTPS仮想サーバーを共有して、Managed File Transferコンソールにアクセスできます。ただし、(SFTPリクエストをロード・バランシングするために使用される)TCPプロトコルに対しては、個別のManaged File Transfer仮想サーバーが必要です。

親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成

admin.example.comに関する追加手順

この項では、仮想サーバーadmin.example.comに必要な追加手順を示します。

ハードウェア・ロード・バランサでこの仮想サーバーを構成する場合:

  • アドレスとポートの変換を有効にします。

  • サービスまたはホストが停止した場合に接続のリセットを有効にします。

親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成

soa.example.comに関する追加手順

ハードウェア・ロード・バランサでこの仮想サーバーを構成する場合:

  • ポート443を使用します。顧客の使いやすさのためにポート80を使用する場合は、それに対するリクエスト(非SSLプロトコル)をポート443 (SSLプロトコル)にリダイレクトすることをお薦めします。このリダイレクトを実装するには、ロード・バランサに固有のドキュメントを参照してください。

  • ANYをプロトコルとして指定します(B2BではHTTPでないプロトコルが必要)。

  • アドレスとポートの変換を有効にします。

  • サービスやノードが停止した場合の接続のリセットを有効にします。

  • この仮想サーバーの/management/emへのアクセスを除外するルールを作成します。

    これらのコンテキスト文字列は、リクエストをOracle WebLogicリモート・コンソールとOracle Enterprise Manager Fusion Middleware Controlにルーティングするため、admin.example.comからシステムへのアクセス時にのみ使用する必要があります。

ノート:

BPMワークリスト(/integration/worklistapp)、SOAコンポーザ(/soa/composer)、BPMコンポーザ(/bpm/composer)およびBPMサークスペース(/bpm/workspace)などの、SOAの一部のWebアプリケーションではセッション永続性が必要になるため、Cookieベースの永続性にはLBRを構成することをお薦めします。

親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成

soainternal.example.comに関する追加手順

ハードウェア・ロード・バランサでこの仮想サーバーを構成する場合:

  • アドレスとポートの変換を有効にします。

  • サービスまたはノードが停止した場合に接続のリセットを有効にします。

  • soa.example.comと同様に、この仮想サーバーの/console/emへのアクセスを除外するルールを作成します。

親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成

osb.example.comに関する追加手順

ハードウェア・ロード・バランサでこの仮想サーバーを構成する場合:

  • ポート443を使用します。顧客の使いやすさのためにポート80を使用する場合は、それに対するリクエスト(非SSLプロトコル)をポート443 (SSLプロトコル)にリダイレクトすることをお薦めします。このリダイレクトを実装するには、ロード・バランサに固有のドキュメントを参照してください。

  • アドレスとポートの変換を有効にします。

  • サービスやノードが停止した場合の接続のリセットを有効にします。

  • この仮想サーバーの/management/emへのアクセスを除外するルールを作成します。

    これらのコンテキスト文字列は、リクエストをOracle WebLogicリモート・コンソールとOracle Enterprise Manager Fusion Middleware Controlにルーティングするため、admin.example.comからシステムへのアクセス時にのみ使用する必要があります。

親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成

mft.example.comに関する追加手順

Managed File Transferでは、HTTPS用の仮想サーバーに加えて、Secure File Transfer Protocol (SFTP)用のロード・バランサにTCP仮想サーバーが必要です。

Managed File Transferのシナリオでは、ロード・バランサによって、SFTPリクエストがSFTP埋込みサーバーに直接ルーティングされます。これらのSFTP埋込みサーバーは、Managed File Transfer管理対象サーバーで実行されています。一貫性を維持するため、ハードウェア・ロード・バランサとSFTPサーバーで使用されるポートは7022です。Oracle HTTP Serverは、SFTPプロトコルを管理できないため、SFTPリクエストには使用されません。

また、Managed File Transferは、HTTPS仮想サーバーを使用してMFTコンソールにアクセスします。この仮想サーバーでは、ロード・バランサは、HTTPSリクエストをOracle HTTP Serverにルーティングします。

親トピック: ハードウェア・ロード・バランサでの仮想ホストの構成

エンタープライズ・デプロイメントのファイアウォールとポートの構成

管理者として、Oracle Fusion Middlewareの様々な製品およびサービスで使用されるポート番号を把握することが重要です。こうすると、同じホストで2つのサービスが同じポート番号を使用しないようになり、エンタープライズ・トポロジのファイアウォールで適切なポートが開かれます。

次の表に、トポロジ内のファイアウォールで開く必要のあるポートをリストします。

ノート:

B2BのTCP/IPポートは、ユーザーが構成するポートであり、事前定義されません。同様に、ファイアウォールのポートは、TCP/IPポートの定義によって異なります。

ファイアウォール表記法:

  • FW0は、最も外側のファイアウォールを表します。

  • FW1は、Web層とアプリケーション層の間のファイアウォールを表します。

  • FW2は、アプリケーション層とデータ層との間におけるファイアウォールを示します。

表6-2 すべてのFusion Middlewareエンタープライズ・デプロイメントに共通のファイアウォール・ポート

タイプ ファイアウォール ポートとポートの範囲 プロトコル/アプリケーション インバウンド/アウトバウンド その他の考慮事項とタイムアウトのガイドライン

ブラウザ・リクエスト

FW0

80

ノート:

このオプションは、ポート80からポート443へのリダイレクトが使用される場合にのみ必要です。

HTTP/ロード・バランサ

インバウンド

タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。

ブラウザ・リクエスト

FW0

44x

HTTPS/ロード・バランサ

インバウンド

タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。

ブラウザ・リクエスト

FW1

44x

HTTPS/ロード・バランサ

アウトバウンド(イントラネット・クライアント)

タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。

コールバックおよびアウトバウンド呼出し

FW1

44x

HTTPS/ロード・バランサ

アウトバウンド

タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。

ロード・バランサからOracle HTTP Serverへ

n/a

444X

HTTPS

n/a

n/a

WebLogic Serverクラスタ内におけるセッション・レプリケーション

n/a

n/a

n/a

n/a

デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。

WebLogicリモート・コンソールとEnterprise Managerコンソール

FW1

9002

HTTPS/リモート・コンソールとEnterprise Manager

t3s

両方

リモート・コンソールへのアクセスのタイプ(アプリケーション層のクライアントからOracle WebLogicリモート・コンソールを使用する予定があるか、またはアプリケーション層の外部のクライアントから使用する予定があるか)に基づいてこのタイムアウト時間をチューニングする必要があります。

データベース・アクセス

FW2

1521

SQL*Net

両方

タイムアウトは、SOAに使用されるプロセス・モデルのタイプとデータベース・コンテンツによって異なります。

デプロイメント用Coherence

n/a

9991

Coherenceでは、メンバー間に次の接続が必要です:
  • マルチキャストとユニキャストの両方の構成について、UDPとTCPの両方に対するポート9991。
  • TCPのポート7。
  • UDPとTCPの両方に対するエフェメラル・ポート32768-60999。

n/a

n/a

n/a

Oracle Unified Directoryアクセス

FW2

389

636 (SSL)

LDAPまたはLDAP/ssl

インバウンド

ロード・バランサに基づいてディレクトリ・サーバーのパラメータをチューニングする必要があります。それ以外の方法ではチューニングしないでください。

Oracle Notification Server (ONS)

FW2

6200

ONS

両方

Gridlinkに必要。ONSサーバーは各データベース・サーバー上で稼働します。

MFT SFTPリクエスト

FW0、FW1

7022

SFTP/WLS_MFTnの埋込みSFTPサーバー

インバウンド

タイムアウトは、転送されるファイルのサイズによって異なります。

MFT HTTPリクエスト

FW1

7010

HTTPS/WLS_MFTn

インバウンド

タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。

*外部クライアントは、RMIまたはJMSでSOAサーバーに直接アクセスできます(JDeveloperデプロイメント、JMXモニタリングなど)。この場合、実装するセキュリティ・モデルによってFW0を開く必要がある場合とない場合があります。

タイプ ファイアウォール ポートとポートの範囲 プロトコル/アプリケーション インバウンド/アウトバウンド その他の考慮事項とタイムアウトのガイドライン

WSM-PMのアクセス

FW1

7010

HTTPS/WLS_WSM-PMn

インバウンド

タイムアウトを60秒に設定します。

SOAサーバーのアクセス

FW1*

7004

HTTPS/WLS_SOAn

インバウンド

タイムアウトは、SOAによって使用されるプロセス・モデルのタイプによって異なります。

Oracle Service Busのアクセス

FW1

8003

HTTPS/WLS_OSBn

インバウンド/アウトバウンド

タイムアウトを短い時間(5から10秒)に設定します。

BAMのアクセス

FW1

7006

HTTPS/WLS_BAMn

インバウンド

レポートやブラウザが閉じられるまでBAM WebAppsへの接続は開いたまま維持されます。これによって、ユーザー・セッションの最長持続可能時間と同じ時間のタイムアウトを設定します。

Oracle Enterprise Schedulerのアクセス

FW1

7008

HTTPS/WLS_ESSn

インバウンド

[-]

親トピック: エンタープライズ・デプロイメントのロード・バランサとファイアウォールの準備